Организация
защиты сетей
Cisco®

¦ J ..
¦у". ..".I:
Panaging Cisco
itwork Security
J. Wens|rom
f
Cisco Systems
201 West 1O3rd Street,
Indianapolis, IN 46290 USA

РГАНИЗА^ИЯ
АЩИТЫ СЕТЕЙ
Уэнстро!
; Москва •Санкт-Петер§урШ Киев
2005 "лш?$гм*-**!"

ББК 32.973.26-018.2.75
У98
УДК 681.3.07
Издательский дом "Вильяме"
Зав. редакцией А. В. Слепцов
Перевод с английского и редакция А. Г. Сивака
По общим вопросам обращайтесь в Издательский дом "Вильяме" по адресу:
info@williamspublishing.com, http://www.williamspublishing.com
Уэнстром М.
У98 Организация защиты сетей Cisco. : Пер. с англ. — М. : Издательский дом
"Вильяме", 2005. — 768 с. : ил. — Парал. тит. англ.
ISBN 5-8459-0387-4 (рус.)
Данная книга представляет собой официальный курс по управлению защитой сетей
Cisco® (MCNS). Ее цель — обучение пользователей правильной установке, выбору
конфигурации, эксплуатации, управлению и тестированию продуктов, предназначен-
предназначенных для защиты сетей Cisco, в частности средств защиты, предлагаемых программным
обеспечением Cisco IOS®. Здесь, в основном, освещаются вопросы, касающиеся обес-
обеспечения защиты сети на уровне IP.
Обсуждение практической реализации средств защиты строится на примере ре-
реальных проблем безопасности, встающих перед некоей гипотетической компанией,
создающей систему защиты своей сети "с нуля". Книга будет полезна как профес-
профессионалам в области защиты сетей, так и всем интересующимся этой темой.
ББК 32.973.26-018.2.75
Все названия программных продуктов являются зарегистрированными торговыми марками
соответствующих фирм.
Никакая часть настоящего издания ни в каких целях не может быть воспроизведена в какой
бы то ни было форме и какими бы то ни было средствами, будь то электронные или механиче-
механические, включая фотокопирование и запись на магнитный носитель, если на это нет письменного
разрешения издательства Cisco Press.
Authorized translation from the English language edition published by Cisco Press, Copyright © 2001
All rights reserved. No part of this book may be reproduced or transmitted in any form or by any
means, electronic or mechanical, including photocopying, recording or by any information storage
retrieval system, without permission from the Publisher.
Russian language edition published by Williams Publishing House according to the Agreement with
R&i Enterprises International, Copyright © 2003
ISBN 5-8459-0387-4 (рус.) © Издательский дом "Вильяме", 2003
ISBN 1-5787-0103-1 (англ.) © Cisco Systems, Inc., 2001

Оглавление
Предисловие 22
Введение 25
Часть I. Выбор политики защиты 31
Глава 1. Угрозы безопасности сети 33
Глава 2. Оценка политики защиты 65
Глава 3. Защита инфраструктуры сети 91
Часть П. Защита удаленного доступа 133
Глава 4. Технология защиты ААА 135
Глава 5. Настройка средств ААА сервера сетевого доступа 177
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 195
Часть III. Защита межсетевых соединений 237
Глава 7. Настройка маршрутизатора периметра Cisco 239
Глава 8. Настройка Cisco IOS Firewall 273
Часть IV. Настройка CiscoSecure PIX Firewall 301
Глава 9. Возможности PIX Firewall 303
Глава 10. Настройка доступа через PIX Firewall 345
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 383
Глава 12. Использование дополнительных возможностей PIX Firewall 415
Часть У. Технология шифрования Cisco 447
Глава 13. Обзор технологии шифрования Cisco 449
Глава 14. Применение шифрования Cisco 467
Часть VI. Виртуальные частные сети, использующие IPSec 511
Глава 15. Поддержка IPSec в сетях Cisco 513
Глава 16. Настройка Cisco IOS для поддержки IPSec 559
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 601
Глава 18. Масштабирование сетей IPSec 633
Часть VII. Приложения 671
Приложение А. Структура сети компании XYZ 673
Приложение Б. Политика сетевой защиты компании XYZ 681
Приложение В. Настройка стандартных и расширенных списков доступа 693
Приложение Г. Ответы на контрольные вопросы 727
Предметный указатель 748

Содержание
Об авторе 19
О приглашенных авторах 19
О рецензентах 20
Посвящение 21
Благодарности 21
Предисловие 22
Вступительное слово 23
Введение 25
Аудитория книги 25
Особенности книги 25
Соглашения, принятые в книге 26
Структура материала книги 26
Часть I. Выбор политики защиты 31
Глава 1. Угрозы безопасности сети 33
Необходимость защиты сети 33
Причины возникновения проблем защиты 34
Три главные причины проблем защиты 34
Противника следует знать: мотивы действий нарушителя 39
Типы угроз безопасности сети 41
Разведка 42
Несанкционированный доступ 46
Блокирование сервиса 51
Подтасовка данных 56
Возможность защиты 58
Резюме 59
Контрольные вопросы 60
Ссылки 60
Защита сетей и бизнес 60
Хакеры и их средства 60
Web-узлы, посвященные вопросам безопасности 61
Обзоры и отчеты, посвященные вопросам безопасности 61
Описания сетевых вторжений 61
Глава 2. Оценка политики защиты 65
Важность защиты сети 65
Процесс оценки состояния защиты 66
Оценка политики сетевой защиты 67
Политика защиты сети компании XYZ 69
Защита сети 70

Мониторинг системы защиты сети 70
Тестирование состояния защиты с помощью средств аудита 71
Совершенствование состояния системы защиты 72
Анализ практики защиты сетей 73
Пример 1. Открытая политика защиты 75
Пример 2. Ограничивающая политика защиты 78
Пример 3. Закрытая политика защиты 81
Результат исследования 84
Резюме 84
Практическое занятие. Оценка политики защиты сети компании XYZ 85
План практического занятия 85
Ответы на вопросы практического занятия 86
Контрольные вопросы 87
Ссылки 87
Разработка политики защиты 88
Примеры политики защиты и соответствующие рекомендации 88
Центры реагирования на инциденты защиты 88
Другие Web-узлы, посвященные вопросам защиты 89
Глава 3. Защита инфраструктуры сети 91
Проблемы защиты территориальной сети и варианты их решения 91
Защита физических устройств 93
Защита административного интерфейса 94
Защита доступа к консоли 95
Шифрование паролей 97
Настройка параметров линии 100
Использование многоуровневой системы привилегий 101
Использование информационных баннеров устройств 103
Управление доступом Telnet 104
Управление доступом SNMP 106
Защита связи между маршрутизаторами ПО
Аутентификация протокола маршрутизации ПО
Защита файлов конфигурации маршрутизатора 114
Управление потоком данных с помощью фильтров 115
Запрет обработки маршрутов, указанных в обновлениях 116
Входные сетевые фильтры 117
Пример политики контроля потока данных 118
Управление доступом HTTP к маршрутизатору 119
Защита коммутаторов Ethernet 120
Контроль управляющего доступа к коммутаторам Ethernet 120
Защита портов коммутаторов Ethernet 121
Защита доступа к коммутаторам Ethernet 122
Резюме 123
Практическое занятие. Настройка базовых средств сетевой защиты 124
План практического занятия 124
Топология 124
Политика сетевой защиты 124
Пример конфигурации маршрутизатора R2 126
Содержание

Контрольные вопросы 128
Ссылки 129
Общие вопросы конфигурации средств защиты маршрутизаторов 129
Стандартные и расширенные списки доступа 129
SNMP 129
Аутентификация соседних маршрутизаторов 130
Защита коммутаторов Ethernet 130
Часть II. Защита удаленного доступа 133
Глава 4. Технология защиты ААА 135
Защита сетевого доступа с помощью средств ААА 135
Архитектура защиты ААА 135
Средства ААА и трафик доступа 136
Методы аутентификации 138
Аутентификация по имени и паролю 138
Аутентификация S/Key 141
Идентификационные карты и серверы 143
Аутентификация РАР и CHAP 145
Методы авторизации 148
Методы аудита 149
Серверы защиты ААА 150
ААА и локальная база данных защиты 150
ААА и удаленная база данных защиты 151
Стандарты базы данных защиты, поддерживаемые Cisco 152
Резюме 172
Контрольные вопросы 173
Ссылки 173
Серверы идентификационных карт 173
S/Key 174
РРР 174
CHAP 174
MD5 174
TACACS+ 174
RADIUS 174
Kerberos 174
Сервер защиты CiscoSecure ACS и программное обеспечение Cisco IOS 175
Глава 5. Настройка средств ААА сервера сетевого доступа 177
Проблема защиты удаленного доступа и ее решение 177
Конфигурация средств ААА сервера сетевого доступа 179
Шаг 1. Защита привилегированного режима EXEC и режима
конфигурации 180
Шаг 2. Глобальная активизация ААА в сервере сетевого доступа 182
Шаг 3. Настройка профилей аутентификации ААА 182
Шаг 4. Настройка средств авторизации ААА 185
Шаг 5. Настройка параметров аудита ААА 187
Шаг 6. Отладка конфигурации 188
Резюме 188
8 Содержание

Практическое занятие. Конфигурация средств ААА сервера сетевого доступа 189
План практического занятия 189
Топология 189
Политика сетевой защиты 189
Пример конфигурации сервера сетевого доступа 190
Контрольные вопросы 192
Ссылки 193
Политика защиты 193
Конфигурация ААА 193
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 195
CiscoSecure ACS для Windows NT и UNIX 195
Поддержка TACACS+ 196
Поддержка RADIUS 196
CiscoSecure ACS для Windows NT 196
Возможности CSNT 199
Системные требования CSNT 203
Архитектура CSNT 203
Поддержка идентификационных карт 206
Установка CSNT 207
Администрирование CSNT и исправление ошибок конфигурации 209
CiscoSecure ACS для UNIX 212
Возможности CSUNIX 213
Системные требования CSUNIX 214
Настройка TACACS+ для CiscoSecure ACS 214
Активизация и настройка ААА 215
Команды конфигурации ААА 216
Пример конфигурации средств AAA/TACACS+ сервера сетевого доступа 216
Тестирование TACACS+ и исправление ошибок конфигурации 218
Настройка RADIUS для CiscoSecure ACS 222
Активизация и настройка ААА 222
Команды конфигурации ААА 223
Пример конфигурации средств AAA/RADIUS сервера сетевого доступа 223
Тестирование RADIUS и исправление ошибок конфигурации 224
Двойная аутентификация 227
Проблемы использования только аутентификации РАР или CHAP 227
Решение, предлагаемое двойной аутентификацией 227
Требования двойной аутентификации 228
Резюме 229
Практическое занятие. Настройка CSNT 229
План практического занятия 230
Топология 230
Политика сетевой защиты 231
* Пример конфигурации CSNT 231
Контрольные вопросы 234
Ссылки 234
Политика защиты 234
Конфигурация TACACS+/RADIUS 235
CiscoSecure ACS 235
Содержание 9

Часть III. Защита межсетевых соединений 237
Глава 7. Настройка маршрутизатора периметра Cisco 239
Системы защиты периметра сети Cisco 239
Маршрутизаторы периметра Cisco 241
Демилитаризованные зоны (ДМЗ) 243
Бастионный хост 244
Брандмауэр 245
Управление сервисами TCP/IP 246
Защита от несанкционированных изменений маршрутов 247
Статические маршруты 248
Контроль объявления маршрутов 248
Аутентификация маршрутов 249
Управление доступом 249
Входной пакетный фильтр 249
Выходной пакетный фильтр 250
Защита типа замка 251
Защита от блокирования сервиса 252
Предотвращение распределенных атак блокирования сервиса 253
Средства TCP-перехвата для защиты от синхронных атак 254
Применение шифрования сетевого уровня 256
Средства СЕТ шифрования сетевого уровня 257
Средства IPSec шифрования сетевого уровня 257
Средства трансляции IP-адресов 257
Использование NAT 258
Настройка динамических средств NAT 259
Использование PAT 260
Настройка средств PAT 261
Регистрация событий маршрутизатора периметра 262
Резюме 263
Практическое занятие. Настройка маршрутизатора периметра Cisco 263
План практического занятия 264
Топология 264
Политика сетевой защиты 264
Пример конфигурации маршрутизатора периметра 266
Контрольные вопросы 269
Ссылки 270
Общие вопросы защиты периметра 270
Cisco IOS Firewall 270
Защита от блокирования сервиса и фильтрация пакетов 270
Средства NAT и PAT 271
Почтовые списки защиты 271
Глава 8. Настройка Cisco IOS Firewall 273
Задачи защиты Cisco IOS Firewall и пути их решения 273
Конфигурация Cisco IOS Firewall 274
Возможности Cisco IOS Firewall 274
Обнаружение вторжений 276
10 Содержание

Подготовка Cisco IOS Firewall 277
Функционирование СВАС 277
Настройка СВАС 279
Шаг 1. Выбор интерфейса для СВАС 280
Шаг 2. Настройка списков доступа IP для интерфейса 281
Шаг 3. Установка глобальных пороговых значений 282
Шаг 4. Выбор правила проверки 284
Шаг 5. Применение правила проверки к интерфейсу 288
Шаг 6. Тестирование и контроль СВАС 289
Управление Cisco IOS Firewall 290
Управление с командной строки 290
Возможности ConfigMaker 290
Резюме 291
Практическое занятие. Настройка Cisco IOS Firewall 292
План практического занятия 292
Топология 293
Политика сетевой зашиты 293
Пример конфигурации Cisco IOS Firewall 294
Контрольные вопросы 297
Ссылки 297
Настройка брандмауэров 298
Настройка Cisco IOS Firewall 298
Часть IV. Настройка CiscoSecure PIX Firewall 301
Глава 9. Возможности PIX Firewall 303
Что такое PIX Firewall 303
Возможности и функционирование PIX Firewall 305
Движение через PIX Firewall извне 305
Адаптивный алгоритм зашиты (ASA) 306
Использование каналов и статических карт для входящего доступа 308
Сквозная опосредованная аутентификация пользователей 312
Модели брандмауэров PIX Firewall и их компоненты 313
CiscoSecure PIX 515 316
CiscoSecure PIX 520 316
Интерфейсы, поддерживаемые брандмауэрами PIX 317
Настройка брандмауэра PIX Firewall 319
Интерфейс командной строки брандмауэра PIX 320
Реализация защиты интерфейсов 323
Команды interface и ip address 326
Трансляция сетевых адресов с помощью команд global и nat 328
Тестирование конфигурации брандмауэра PIX Firewall 332
Пример конфигурации брандмауэра PIX Firewall 337
Резюме 338
Практическое занятие. Настройка трансляции сетевых адресов
в брандмауэре PIX Firewall 339
План практического занятия 339
Топология 340
Содержание 11

Политика сетевой зашиты 341
Пример конфигурации брандмауэра PIX Firewall 341
Контрольные вопросы 341
Ссылки 342
Трансляция сетевых адресов 342
Нарушения и хакеры 342
Интерфейс командной строки 342
Сетевая зашита 342
Другие ресурсы, посвященные сетевой защите 343
Глава 10. Настройка доступа через PIX Firewall 345
Настройка управления исходящим доступом 345
Средства NAT брандмауэра PIX 346
Настройка NAT для контроля исходящего доступа 347
Трансляция адресов портов 352
Трансляция NetBIOS 354
Контроль входящего и исходящего доступа 355
Приложения мультимедиа, поддерживаемые брандмауэром PIX 358
Управление доступом к внутренним хостам 360
Статическая трансляция 360
Разрешение доступа ping 372
Система DNS Guard и защита от атак блокирования сервиса 373
Резюме 377
Практическое занятие. Настройка брандмауэра PIX Firewall для
защищенной двунаправленной связи 377
План практического занятия 377
Топология 378
Политика сетевой защиты 378
Пример конфигурации брандмауэра PIX Firewall 379
Контрольные вопросы 380
Ссылки 381
Настройка команд conduit 381
Атаки блокирования сервиса 381
Объекты xlate и структура команд 381
Глава 11. Настройка интерфейсов и средств АЛА PIX Firewall 383
Настройка доступа к множеству интерфейсов 383
Настройка средств поддержки множества интерфейсов 384
Настройка внутреннего интерфейса для внешнего мира: команды global и nat 387
Команда show и другие полезные команды 392
Настройка внешнего интерфейса для ДМЗ: команды static и conduit 393
Разрешение доступа ping и фильтрация ICMP 395
Настройка вывода Syslog 397
Настройка аутентификации пользователей 401
Настройка сервера ААА брандмауэра PIX Firewall 401
Примеры настройки средств ААА 402
Резюме 406
Практическое занятие. Настройка множества интерфейсов и средств ААА
брандмауэра PIX Firewall 407
12 Содержание

План практического занятия 407
Топология 407
Структура сети и политика сетевой защиты 407
Пример конфигурации брандмауэра PIX Firewall компании XYZ 409
Контрольные вопросы 412
Ссылки 412
Общая информация о брандмауэрах PIX Firewall 412
Информация о средствах ААА 412
Общие вопросы защиты 413
Информация о программном обеспечении брандмауэра PIX Firewall 413
Глава 12. Использование дополнительных возможностей PIX Firewall 415
Усовершенствованная трансляция сетевых адресов: NAT 0 415
Контроль исходящего доступа 417
Примеры управления исходящим доступом 419
Блокирование аплетов Java и фильтрация URL 420
Блокирование аплетов Java 420
Фильтрация URL 421
Настройка контрольных записей FTP и URL 423
Настройка SNMP 426
Настройка средств обработки отказов брандмауэра PIX Firewall 428
Базовая обработка отказов 428
Полномасштабная обработка отказов 428
Процесс обработки отказов 429
Настройка параметров обработки отказов 430
Настройка возможностей VPN 431
Шифрование Private Link 432
Настройка поддержки РРТР 434
Менеджер политики CiscoSecure 436
Сопровождение брандмауэра PIX Firewall 436
Восстановление паролей брандмауэра PIX Firewall 436
Обновление программного обеспечения PIX Firewall 437
Резюме 439
Практическое занятие. Настройка дополнительных возможностей
брандмауэра PIX Firewall 440
План практического занятия 440
Топология 440
Структура сети и дополнения политики защиты 440
Пример конфигурации брандмауэра PIX Firewall компании XYZ 440
Контрольные вопросы 444
Ссылки 444
Фильтрация URL 445
Шифрование Private Link 445
Протокол РРТР 445
Сервер TFTP 445
CiscoSecure Policy Manager 445
Центр программного обеспечения Cisco Secure 445
Содержание 13

Часть V. Технология шифрования Cisco 447
Глава 13. Обзор технологии шифрования Cisco 449
Реализация технологии шифрования 449
Проблема целостности данных и возможности ее решения 449
Что такое шифрование 450
Как работают средства шифрования 451
Приложения шифрования 452
Варианты реализации возможностей шифрования 454
Обзор криптосистемы Cisco IOS 456
Шифрование DES 457
Алгоритм MD5 хэширования сообщений 460
Шифрование DSS 460
Согласование ключей по методу Диффи-Хеллмана 462
Резюме 463
Контрольные вопросы 464
Ссылки 464
Функционирование СЕТ 464
Алгоритмы шифрования и их действие 465
MD5 465
DSS 465
Другие источники информации о шифровании 465
Глава 14. Применение шифрования Cisco 467
Основы СЕТ 467
Криптографические модули СЕТ 467
Действие СЕТ 470
Настройка СЕТ 475
Задача 1. Генерирование открытого и личного ключей DSS 475
Задача 2. Обмен открытыми ключами DSS 478
Задача 3. Определение глобальной политики шифрования 485
Задача 4. Согласование сеансовой политики шифрования 488
Задача 5. Проверка конфигурации и действия системы шифрования 493
Диагностика и отладка СЕТ 499
Команды отладки 500
Примеры вывода команды debug crypto sesmgmt 500
Вопросы реализации шифрования 501
Вопросы планирования 501
Рекомендации по настройке СЕТ 503
Экспортная политика шифрования 504
Планирование задач шифрования 505
Общее планирование 505
Планирование конфигурации узлов 505
Процедуры конфигурации 505
Резюме 507
Контрольные вопросы 507
Ссылки 508
Технология СЕТ, планирование ее применения и настройка 508
14 Содержание

Информация о ESA и VIP2-40
Настройка СЕТ
Часть VI. Виртуальные частные сети, использующие IPSec
Глава 15. Поддержка IPSec в сетях Cisco
Создание защищенных сетей VPN с помощью IPSec
Протоколы VPN
Что такое IPSec
Ассоциации защиты
Инфраструктура IPSec
Как работает IPSec
Шаг 1. Начало процесса IPSec
Шаг 2. Первая фаза IKE
Шаг 3. Вторая фаза IKE
Шаг 4. Передача данных
Шаг 5. Завершение работы туннеля IPSec
Технологии, используемые в рамках IPSec
Протокол АН
Протокол ESP
Стандарт DES
Протокол IKE
Согласование ключей по схеме Диффи-Хеллмана
Коды НМАС
Защита RSA
Инфраструктура открытых ключей и поддержка центров сертификации
Стандарты центров сертификации
Работа центра сертификации с SCEP
Поддержка сервера СА
Потоки IKE и IPSec в программном обеспечении Cisco IOS
Настройка шифрования IPSec
Задача 1. Подготовка к использованию IPSec
Резюме
Контрольные вопросы
Ссылки
Стандарты IPSec
Шифрование
IKE
Алгоритмы хэширования
Криптография с открытым ключом
Цифровые сертификаты и центры сертификации
Общие вопросы защиты
Глава 16. Настройка Cisco IOS для поддержки IPSec
Настройка IPSec для работы с общими ключами
Задача 1. Подготовка к использованию IPSec
Задача 2. Настройка IKE для работы с общими ключами
Задача 3. Настройка IPSec
Задача 4. Тестирование и контроль IPSec
508
508
511
513
513
514
515
515
516
516
517
518
519
521
521
522
522
523
529
531
535
537
539
542
544
545
545
546
548
548
554
554
555
555
555
556
556
556
556
556
559
559
560
560
565
578
Содержание 15

Настройка IPSec для работы с шифрованными оказиями 585
Задача 1. Подготовка к использованию IPSec 586
Задача 2. Настройка шифрования RSA 586
Задача 3. Настройка IKE для работы с шифрованными оказиями 592
Резюме 593
Практическое занятие. Настройка IPSec Cisco IOS для работы с общими
ключами 594
План практического занятия 594
Топология 594
Политика зашиты сети 594
Пример конфигурации маршрутизатора периметра 595
Контрольные вопросы 598
Ссылки 598
Конфигурация IKE 598
Конфигурация IPSec 599
Расширенные списки доступа IP 599
Системные сообщения об ошибках и сообщения отладки 599
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 601
Задача 1. Подготовка к использованию IPSec 602
Задача 2. Настройка IKE для работы с общими ключами 603
Шаг 1. Активизация или отключение IKE 603
Шаг 2. Создание политик IKE 603
Шаг 3. Выбор согласованных общих ключей 605
Шаг 4. Проверка конфигурации 1КЕ 607
Задача 3. Настройка IPSec 608
Шаг 1. Создание списков шифрованного доступа 609
Шаг 2. Настройка наборов преобразований 612
Шаг 3. Установка глобальных пределов существования для ассоциаций
защиты IPSec 614
Шаг 4. Создание криптографических карт 616
Шаг 5. Применение криптографических карт к интерфейсам 621
Шаг 6. Проверка конфигурации IPSec 621
Задача 4. Тестирование и контроль IPSec 623
Проверка конфигурации и функционирования IKE 623
Проверка конфигурации и функционирования IPSec 624
Мониторинг и управление связями IKE и IPSec 624
Резюме 625
Практическое занятие. Настройка средств IPSec брандмауэра PIX Firewall
для работы с общими ключами 626
План практического занятия 626
Топология 626
Политика зашиты сети 626
Пример конфигурации для брандмауэра PIX 1 627
Пример конфигурации для брандмауэра PIX 2 629
Контрольные вопросы 630
Ссылки 631
16 Содержание

Глава 18. Масштабирование сетей IPSec 633
Поддержка центров сертификации в маршрутизаторах и брандмауэрах 633
Задача 1. Подготовка к использованию IPSec 634
Задача 2. Настройка средств поддержки центров сертификации 636
Задача 3. Настройка IKE для IPSec 657
Задача 4. Настройка IPSec 657
Задача 5. Проверка конфигурации VPN 657
Масштабирование поддержки VPN в сетях Cisco 659
Настройка динамических криптографических карт 660
Настройка режима IKE mode config 662
Настройка расширенной аутентификации IPSec 664
Настройка средств распознавания конечных точек туннелей 665
Резюме 666
Контрольные вопросы 667
Ссылки 668
Стандарты СА и соответствующие обзоры 668
Настройка СА в рамках Cisco IOS Software 668
Поддержка сервера СА для брандмауэра PIX Firewall 668
Стандарты IPSec и документы RFC 668
Программа поддержки безопасности 669
Часть VII. Приложения 671
Приложение А. Структура сети компании XYZ 673
Общая характеристика компании XYZ 673
Удаленный доступ 675
Доступ к Internet 675
Подразделения компании 675
Подразделение информационных систем 675
Подразделение сбыта 676
Подразделение разработки 676
Цели сетевой защиты компании XYZ 676
Приложение Б. Политика сетевой защиты компании XYZ 681
Приложение В. Настройка стандартных и расширенных списков доступа 693
IP-адресация и общая структура списков доступа 694
IP-адресация 694
Групповые маски 698
Общие задачи настройки списков доступа 700
Принципы построения списков доступа 700
Настройка стандартных списков доступа IP 701
Обработка стандартных списков доступа 702
Команды стандартного списка доступа 704
Размещение стандартных списков доступа 705
Типичные ошибки в стандартных списках доступа 706
Пример стандартного списка доступа 707
Настройка расширенных списков доступа IP 707
Обработка расширенных списков доступа 708
Содержание 17

Команды расширенного списка доступа IP 709
Синтаксис команд ICMP 711
Синтаксис команд TCP 714
Синтаксис команд UDP 716
Размешение расширенных списков доступа IP 718
Первый пример расширенного списка доступа IP 719
Второй пример расширенного списка доступа IP 720
Проверка конфигурации списка доступа 720
Именованные списки доступа IP 721
Резюме 724
Ссылки 724
Настройка списков доступа IP 724
Протокол IP и правила адресации 724
Приложение Г. Ответы на контрольные вопросы 727
Предметный указатель 748
18 Содержание

Об авторе
Майкл Уэнстром работает в системе образования Cisco Systems, Inc., где он создает,
развивает и преподает учебные курсы по построению виртуальных частных сетей
Cisco и использованию продуктов, предназначенных для их зашиты.
Майкл выбрал карьеру преподавателя и инструктора, чтобы помогать людям рас-
расширять их знания и совершенствовать мастерство в области коммуникационных тех-
технологий. Наибольшее удовольствие от работы он получает тогда, когда сложные тех-
технические решения удается передать в простой для понимания форме. Имея большой
опыт (более 18 лет) в самых разных областях практической подготовки технических
специалистов, он выполняет инструктаж, разрабатывает учебные курсы, занимается
преподаванием и руководит проектами.
Проживая в течение 21 года в Силиконовой Долине, Майкл работал для Cisco Sys-
Systems, Aspect Communications, Siemens, IBM, ROLM, Tymnet, NCR и ведомства Воен-
Военно-морского флота США. В настоящее время он вместе с женой и дочкой живет в
Остине, шт. Техас, где занимается разработкой учебных курсов, обучением использо-
использованию виртуальных частных сетей Cisco, а также методам защиты таких сетей. Он
окончил университет штата Западный Иллинойс, где получил степень бакалавра.
Кроме того, он имеет степень в области электронных технологий и сертификат адми-
администратора сетевых программных средств Cisco (CCNA).
О приглашенных авторах
Дж. Т. Агнелло (J. Т. Agnello) в течение 15 лет работал системным администрато-
администратором в Остине, шт. Техас, где занимался управлением сетями для самых разных ком-
компаний — от совсем небольших до таких, как Sematech, Schlumberger, IBM и др. По-
Последние три года он разрабатывает учебные курсы, в которых освещаются вопросы
использования компьютерных систем, защиты сетей и управления базами данных, для
Tivoli Systems (являющейся одним из партнеров IBM) и Pervasive Software.
Скотт Моррис (Scott Morris) является консультантом компании Mentor Technologies,
Inc. (ранее именуемой Chesapeake Computer Consultants). Он работал в различных облас-
областях, связанных с использованием компьютеров и сетей. Знания Скотта Морриса весьма
обширны, о чем свидетельствуют сертификаты Novell, Microsoft и Cisco, но он по-
прежнему продолжает расширять их (чтобы пополнить свою коллекцию дипломов и
просто чтобы не скучать).
Что касается сетей Cisco, то Моррис имеет сертификат инструктора по использо-
использованию систем Cisco (CCSI), сертификаты CCIE #4713 и CCDP в области маршрутиза-
маршрутизации и коммутации, а также сертификат CCNA в области коммутации глобальных се-
сетей. Скотт успешно сдал очередные письменные экзамены CCIE по управлению уда-
удаленным доступом к сети поставщика услуг Internet и администрированию проектов, а
сейчас использует свое весьма ограниченное свободное время для того, чтобы подго-
подготовиться к следующему экзамену CCIE. Он специализируется на обучении методам
устранения проблем межсетевого обмена в сетях Cisco и старается осваивать новей-
новейшие технологии в силу присущего ему непреодолимого стремления к новому.
Кэри А. Риддок (Сагу A. Riddock) в течение последнего года выполняет обязанно-
обязанности сетевого инженера большой медицинской компании в Центральной Флориде.

В круг его обязанностей входят вопросы мониторинга и диагностики корпоративной
сети, а также разрешение соответствующих проблем. В настоящее время он участвует
в разработке системы доступа к приложениям частной сети корпорации через Internet
на основе инфраструктуры открытых ключей и технологии идентификационных карт.
Он имеет сертификаты MCSE, CCNA, CCDA, CCDP и ССА.
О рецензентах
Рецензенты, основываясь на своем богатом опыте, внесли неоценимый вклад в
процесс подготовки данного учебного курса.
Ричард Бенуа (Richard Benoit) руководит сетевыми и технологическими проектами
международного конгломерата развлечений в Орландо, шт. Флорида. В настоящее
время он занимается разработкой архитектуры сети предприятия, вопросами управле-
управления и защиты. Ранее он был консультантом, и ему приходилось работать со множест-
множеством клиентов, которым требовалась помощь в вопросах проектирования, реализации
и поддержки крупномасштабных сетей. В области управления компьютерными сетями
он имеет сертификаты CCNP, CCDA, а также сертификат Microsoft MCSE. Свою сте-
степень бакалавра в области систем управления он получил в Высшей технической шко-
школе штата Милуоки (Milwaukee School of Engineering).
Дуг Мак-Бет (Doug MacBeth) является менеджером Cisco Systems, Inc., по документа-
документации IOS (его сотрудничество с Cisco Systems началось в 1993 году). Он имеет большой
опыт (более 15 лет) подготовки технической документации. В Cisco Systems Дуг выполнял
обязанности редактора и руководил подготовкой пакета технической документации Cisco
IOS. Проживает в Сан-Хосе, шт. Калифорния. Имеет степень бакалавра в области про-
промышленных и коммерческих коммуникаций от университета Сан-Хосе.
Дуг Мак-Киллип (Doug McKillip), инженер-профессионал (Р.Е., сертификат
CCIE #1851), является независимым консультантом по вопросам сертифицированной
подготовки Cisco совместно с Global Knowledge. Имеет более 12 лет опыта работы с
компьютерными сетями, а на протяжении последних восьми активно работает в об-
области защиты сетей и применения брандмауэров. Дуг обеспечивал инструктаж и тех-
техническую помощь с самого начала внедрения первой версии учебного курса MCNS,
выполняя обязанности руководящего инструктора и директора курса в Global Knowl-
Knowledge, являющейся партнером Cisco Systems в области обучения. Имеет степени бака-
бакалавра и магистра в области химического машиностроения от Массачусетсского техно-
технологического института (MIT), а также степень магистра в области вычислительной
техники от Университета штата Делавэр. Проживает в Уилмингтоне, шт. Делавэр.
Хэнк Молдин (Hank Mauldin) является инженером-консультантом службы техниче-
технического обслуживания Cisco Systems, Inc. Работает с сетями Cisco уже в течение не-
нескольких лет, занимаясь разработкой и экспертизой сетей. Сфера его компетенции
охватывает протоколы маршрутизации IP, качество сервиса и защиту сетей. В на-
настоящее время Хэнк является менеджером группы разработки и сопровождения сис-
системы Cisco Network Designer, предлагающей средства автоматизации проектирования
сетей. Он имеет большой опыт (более 15 лет) в проектировании сетей, до прихода в
Cisco работал в нескольких компаниях, занимающихся вопросами системного интег-
интегрирования. Проживает в Сан-Диего, шт. Калифорния. Имеет степень магистра в об-
области технологии информационных систем от Университета Джорджа Вашингтона.

Посвящение
Я посвящаю эту книгу своей семье. Книга никогда бы не была завершена без под-
поддержки моей жены Вирджинии и моей дочери Розмари. Во время моей работы над
книгой им пришлось пережить немало рабочих ночей и несостоявшихся выходных. Я
также посвящаю эту книгу моей матери Мэри Е. Уэнстром за то, что она вырастила
меня, за ее добрые наставления, пронизанные любовью и помогающие мне до сих
пор. Наконец, я посвящаю эту книгу моему отцу, уже покойному Конраду Р. Уэнст-
рому, который научил меня настойчивости и труду и который помог мне стать тем,
кем я сегодня являюсь.
Благодарности
Курс MCNS (Организация защиты сетей Cisco) является объединенным проектом,
вклад в который внесли многие люди, как из Cisco, так и извне, включая разработчи-
разработчиков курса, редакторов и преподавателей. Хотя главным разработчиком курса MCNS
был именно я, все же не могу оставить без внимания работу многих других людей,
усилия которых принесли курсу успех. Это — участвовавшие в разработке материалов
курса Том О'Хара (Тот О'Нага), Шон Ковилл (Sean Coville) и Боб Мартинез (Bob
Martinez), преподаватели Cisco Мэт Лайонс (Matt Lyons), Франьо Майстор (Franjo
Majstor) и Кевин Калкинс (Kevin Calkins), консультанты по вопросам структуры и со-
содержания курса Хэнк Молдин (Hank Mauldin) и Крис Лонвик (Chris Lonvick), веду-
ведущий преподаватель Cisco Learning Partner Дуг Мак-Киллип (Doug McKillip), редакто-
редакторы курса Брайан Адаме (Brian Adams) и Дебора Льюис (Deborah Lewis), а также Крис
Берримэн (Chris Berriman), руководитель оригинального проекта MCNS.
Создание книги Организация защиты сетей Cisco было трудным, но стоящим делом. Я
хотел бы поблагодарить моего менеджера Рика Стиффлера (Rick Stiffler) и моих сотрудни-
сотрудников по группе обучения, которые каждый раз с пониманием относились к моему состоя-
состоянию, когда я приходил на работу после бессонных ночей. Я также признателен работни-
работникам Cisco Press, которые помогли мне не сойти с дистанции и довести дело до конца. Осо-
Особой благодарности заслуживают Китти Джарретт (Kitty Jarrett) и Бретт Бартоу (Brett
Bartow) за их терпеливую работу со мной и другими авторами, участвовавшими в осущест-
осуществлении данного проекта. Я высоко ценю значительный вклад рецензентов в успех данной
книги и благодарю всех соавторов, с которыми я должен разделить этот успех.

Предисловие
Книга Организация защиты сетей Cisco представляет все вопросы, рассматривае-
рассматриваемые в рамках курса MCNS при подготовке к экзамену на получение соответствую-
соответствующего сертификата. Эта книга дает необходимые знания и практические навыки, необ-
необходимые для установки, настройки, эксплуатации и проверки средств защиты и соот-
соответствующего программного обеспечения Cisco IOS в сетях, использующих IP. С
помощью этой книги вы научитесь выявлять угрозы безопасности сети, обеспечивать
защиту удаленного доступа с помощью средств ААА (аутентификации, авторизации и
аудита) Cisco IOS и сервера управления доступом CiscoSecure ACS, организовывать
безопасный доступ к Internet с помощью маршрутизаторов периметра Cisco и бранд-
брандмауэров PIX, а также строить защищенные виртуальные частные сети (сети VPN) на
основе IPSec. Вне зависимости от того, готовитесь ли вы к экзамену по защите сетей
Cisco или вам необходимо понимание технологии защиты сетей Cisco для использо-
использования соответствующих средств на практике, представленная в данной книге инфор-
информация окажется исключительно полезной.
Cisco и Cisco Press предлагают этот материал в виде печатного издания, чтобы на-
наши клиенты имели дополнительную возможность получить соответствующие знания,
а также чтобы расширить круг пользователей. Хотя публикация не может заменить
уникальную среду обучения, создаваемую преподавателем, мы считаем, что разным
людям требуются различные способы передачи полезной информации. Мы надеемся,
что книга позволит получить соответствующие знания более широкой аудитории про-
профессионалов, работающих с компьютерными сетями.
Cisco Press и в дальнейшем будет представлять учебные курсы в виде книг, чтобы
помочь в решении главной задачи Группы обучающих Internet-решений Cisco (Cisco
Internet Learning Solution Group), которой является повышение квалификации сооб-
сообщества профессионалов сетевых технологий Cisco с целью повышения надежности и
управляемости масштабируемых сетей. Сертификаты Cisco и учебные курсы в рамках
соответствующей системы сертификации неизменно стремятся к прогрессивным спо-
способам обучения. Книги Cisco Press, создаваемые в тесном сотрудничестве с Cisco Sys-
Systems, отвечают тем же стандартам качества содержания, что и учебные курсы в рамках
системы сертификации. Наши цели будут достигнуты, если эта и последующие пуб-
публикации сертификационных и учебных материалов Cisco Press пополнят ваши знания
в области организации и использования компьютерных сетей.
Томас М. Келли (Thomas M. Kelly)
вице-президент Группы обучающих Internet-решений
Cisco Systems, Inc.
июль 2000 г.

Вступительное слово
Компьютерная и сетевая безопасность имеют первостепенное значение в связи с
широким распространением атак, которым постоянно подвергаются компьютерные
сети. Кроме того, уже свершившаяся Internet-революция является ключом к процве-
процветанию как отдельных индивидуумов, так и целых государств. Перед руководителями
государств и компаний во всем мире остро стоит проблема принятия срочных мер по
защите сетей. На сегодня многие сети лишены даже базовых средств защиты и имеет-
имеется острый недостаток в профессионалах, способных построить такую защиту. Многим
защита сетей кажется весьма сложной, чуть ли не эзотерической темой, доступной
пониманию только элитарной части профессионалов.
Тем, кто работает в сфере обучения профессионалов сетевых технологий и повы-
повышения их квалификации, ясно видна необходимость целостного подхода к обучению
методам сетевой безопасности, чтобы специалисты-практики могли получить реаль-
реальную помощь в деле совершенствования защиты своих сетей. Мы считаем необходи-
необходимым предоставить возможность ознакомиться с проблемами и методами защиты сетей
как можно более широкому кругу потребителей, чтобы они могли самостоятельно
оценить уровень безопасности своих сетей. Это должно сыграть положительную роль
в целом и в конечном итоге привести к общему усилению защиты. Для решения этой
задачи мы и решили создать новый курс по защите сетей.
Еще в 1997 году, когда я был разработчиком курсов в Cisco Worldwide Training, мой
руководитель Крис Берримэн (Chris Berriman) поручил мне разработку курса по
управлению защитой сетей Cisco (курса MCNS). Тогда курс еще не имел такой попу-
популярности, но наша группа смогла предвидеть необходимость обучения методам защи-
защиты сетей (сегодня такая необходимость уже не вызывает сомнений). Я провел нефор-
неформальный анализ конкурирующих предложений и обнаружил, что нет ни одной фир-
фирмы, предлагающей равноценный курс.
Курс должен был предложить обзор технологий сетевой защиты Cisco, обеспечивая
баланс между широтой охвата известных технологий и глубиной описания конкрет-
конкретных решений. Практические занятия и реальные примеры должны были закрепить
понимание представленных идей и фактов. Решение было принято и работа над про-
проектом MCNS началась, в результате чего появилась сначала первая, а затем и после-
последующие версии курса.
Эта книга полностью соответствует содержанию курса MCNS, но ее материал под-
подвергся существенной переработке с учетом опыта, полученного в результате интен-
интенсивных исследований. Необходимость во всеобъемлющей книге по защите сетей сего-
сегодня ощущается особенно остро. Книга призвана обеспечить поддержку процесса
подготовки новых профессионалов защиты и их помощников, чтобы в конце концов
тема защиты сетей стала доступной и понятной более широкому кругу специалистов.
Майкл Уэнстром
Cisco Systems, Inc.
август 2000 г.
Предисловие 23

Введение
Целью этой книги является предоставление читателю помощи при реализации
технологий защиты сетей Cisco, а также при проектировании и построении более за-
защищенных сетей. Данная книга предназначена для использования как в качестве до-
дополнения к учебному курсу MCNS, так и в качестве отдельно используемого справоч-
справочного пособия.
Аудитория книги
Книга предназначена для тех, кто интересуется технологиями и средствами защи-
защиты сетей Cisco. Главной аудиторией книги будут работающие в области сетевых тех-
технологий профессионалы, которые считают необходимым расширить свои знания за
рамки границ маршрутизации и коммутации и совершенствовать свои возможности в
области установки, настройки, мониторинга и использования средств защиты сетей
Cisco. Эта книга предполагает, что читатель уже обладает знаниями в области сетевых
технологий Cisco, необходимыми для получения сертификата CCNA.
Данная книга будет полезна и обычным пользователям сетей, которым необходимо
получить информацию о возникающих в сети угрозах безопасности и методах сниже-
снижения риска таких угроз. Для объяснения большинства принципов и сути технологий
защиты сетей в книге использовался метод дружественного подхода, который привле-
привлекателен для читателей, предпочитающих не обращать слишком много внимания на
технические подробности.
Особенности книги
Эта книга имеет ряд уникальных особенностей, которые будут помогать вам в
процессе изучения средств сетевой защиты.
• Списки обсуждаемых понятий и идей. В начале каждой главы имеется список об-
обсуждаемых тем. Он может использоваться для ссылок на рассматриваемые по-
понятия и идеи и может оказаться полезным в процессе поиска нужной темы.
• Рисунки, примеры и таблицы. Книга содержит примеры, рисунки и таблицы,
представляющие содержимое каждой главы в простой для использования фор-
форме. Рисунки помогают объяснить идеи и программные процессы, примеры со-
содержат образцы использования команд и выводимые ими данные, а в таблицах
представлены синтаксис и описания параметров команд.
• Практические занятия. В каждой главе на примере гипотетического предпри-
предприятия — компании XYZ — элементы конфигурации средств защиты объединя-
объединяются в нечто целое, позволяющее связать изучаемый материал с реальностью.
Политика сетевой защиты компании XYZ используется в книге как модель для
демонстрации возможностей реализации директив политики защиты в терми-
терминах команд конфигурации соответствующих сетевых устройств. Практические
занятия на основе примеров конфигурации конкретных сетевых устройств ил-
иллюстрируют материал, изучаемый в рамках соответствующей главы.

• Описания команд. Чтобы упростить для читателя процесс восприятия рассмат-
рассматриваемого материала, описания команд предлагаются в ходе изучения, а не вы-
вынесены в отдельный раздел.
• Резюме по материалу главы. В конце каждой главы имеется краткая сводка рас-
рассмотренных идей и понятий, которая играет роль конспекта и оказывает по-
помощь в изучении материала главы.
• Контрольные вопросы. После резюме в конце каждой главы предлагаются 10
контрольных вопросов, ответы на которые помогут лучше понять освещенный в
главе материал. Вопросы позволят определить уровень понимания материала и
вашу готовность перейти к изучению новых понятий. (Ответы на контрольные
вопросы содержатся в приложении Г.)
• Ссылки. После контрольных вопросов предлагаются ссылки на источники до-
дополнительной информации по представленным в главе темам. Ссылки помогут
расширить ваши знания по соответствующим вопросам.
Соглашения, принятые в книге
В этой книге приняты следующие соглашения.
• Важные или новые термины выделяются курсивом.
• Примеры программного кода печатаются моноширинным шрифтом, а для час-
частей программного кода используются следующие правила:
• команды и ключевые слова печатаются полужирным;
• аргументы, замещающие реальные значения, которые должны вводиться
пользователем, печатаются курсивом;
• в квадратных скобках ([...]) указываются необязательные ключевые слова
или параметры;
• в фигурных скобках ({...}) указываются допустимые варианты обязательных
параметров;
• вертикальные линии (|) используются для разделения имеющихся вариантов
обязательных параметров.
Структура материала книги
Книга разделена на семь частей, включающих 18 глав и четыре приложения.
Часть I. Выбор политики защиты
Глава 1, "Угрозы безопасности сети", рассматривая потенциальные угрозы безо-
безопасности сети типичного предприятия, обосновывает положительный ответ на фунда-
фундаментальный вопрос о необходимости защиты сети. В главе приводятся примеры на-
нарушений защиты, указываются главные причины уязвимости сетей, характеризуются
основные типы нарушителей, описываются категории угроз безопасности сети и
предлагаются варианты устранения таких угроз.
Глава 2, "Оценка политики защиты", рассматривает экономические вопросы за-
защиты сети и обрисовывает общие контуры политики сетевой защиты. В главе содер-
26 Введение

жится обзор средств защиты сети, предлагаемых компанией Cisco, а в ходе практиче-
практического занятия вы сможете оценить пример политики защиты.
Глава 3, "Защита инфраструктуры сети", представляет возможности настройки мар-
маршрутизаторов Cisco для защиты внутренней сетевой среды (например, сети кампуса1). Рас-
Рассматриваются защита административного интерфейса, контроль доступа SNMP к сетевым
устройствам, способы пресечения попыток изменения параметров маршрутизации не-
неуполномоченными пользователями, простые методы управления сетевым трафиком, а
также контроль портов коммутаторов Ethernet и защита доступа к сети.
Часть II. Защита удаленного доступа
Глава 4, "Технология защиты ААА", обсуждает архитектуру ААА (аутентификация,
авторизация и аудит) Cisco и связанные с ней технологии. В главе представлены идеи,
которые применяются при реализации решений защиты на основе использования се-
сетевых продуктов Cisco.
Глава 5, "Настройка средств ААА сервера сетевого доступа", объясняет, как на-
настроить сервер сетевого доступа Cisco, чтобы средства ААА могли работать с локаль-
локальной или удаленной базой данных защиты. Рассмотрены также пути решения проблем,
которые могут возникать при использовании этих средств.
Глава 6, "Настройка CiscoSecure ACS и TACACS+/RADIUS", обсуждает возмож-
возможности и архитектуру сервера управления доступом CiscoSecure ACS для Microsoft
Windows NT и UNIX. В частности, в главе объясняется, как настроить CiscoSecure
ACS для NT на выполнение функций ААА для серверов сетевого доступа Cisco. При
этом основное внимание уделяется использованию протокола TACACS+.
Часть III. Защита межсетевых соединений
Глава 7, "Настройка маршрутизатора периметра Cisco", раскрывает возможности защи-
защиты периметра сети, предлагаемые маршрутизаторами Cisco. В главе содержится обзор ком-
компонентов системы защиты периметра сети и соответствующих программных возможностей
Cisco IOS. Показано также, как использовать эти средства защиты на практике.
Глава 8, "Настройка Cisco IOS Firewall", обсуждает возможности брандмауэра
Cisco IOS Firewall в маршрутизаторах Cisco, используемые для усиления защиты пе-
периметра сети. В главе предлагается обзор методов контекстно-зависимого управления
доступом и объясняется, как правильно настроить указанный брандмауэр в рамках
системы общей защиты.
Часть IV. Настройка CiscoSecure PIX Firewall
Глава 9, "Возможности PIX Firewall", представляет возможности и особенности
конфигурации брандмауэров семейства PIX Firewall. В главе показано, что PIX
Firewall может обеспечить мощную защиту даже при использовании только команд
базовой конфигурации.
Глава 10, "Настройка доступа через PIX Firewall", на основе материала предыду-
предыдущей главы обсуждает возможности управления потоком данных, проходящих через
брандмауэр PIX Firewall, и используемые для этого команды. В главе рассматриваются
' Кампусом в США называют территорию университетского городка, колледжа или школы.
В тексте вместо слова "кампус" мы будем использовать словосочетание "территориальная сеть
предприятия". — Прим. ред.
Введение 27

настройка средств трансляции сетевых адресов, статические трансляции и другие ме-
методы управления доступом.
Глава 11, "Настройка интерфейсов и средств ААА PIX Firewall", описывает воз-
возможности гибкой настройки множества интерфейсов PIX Firewall для создания за-
защищенной "демилитаризованной зоны" сети. В главе также объясняется, как настро-
настроить средства аутентификации, авторизации и аудита PIX Firewall для работы с
CiscoSecure ACS, чтобы обеспечить контроль доступа на уровне пользователей.
Глава 12, "Использование дополнительных возможностей PIX Firewall", обсуждает
некоторые дополнительные возможности PIX Firewall, превращающие брандмауэр в
мощное и вместе с тем достаточно гибкое средство управления межсетевым взаимо-
взаимодействием и доступом в Internet. В главе рассмотрены поддержка РРТР, возможности
блокирования аплетов Java, фильтрация URL и FTP, поддержка SNMP и syslog, сред-
средства резервирования и сопровождения PIX Firewall.
Часть V. Технология шифрования Cisco
Глава 13, "Обзор технологии шифрования Cisco", описывает понятия, понимание
которых необходимо для квалифицированного использования средств СЕТ (Cisco En-
Encryption Technology — технология шифрования Cisco) в маршрутизаторах Cisco. В гла-
главе представлены алгоритмы шифрования, методы хэширования и создания цифровых
подписей, а также методы обмена ключами, используемые в рамках СЕТ.
Глава 14, "Применение шифрования Cisco", предлагает пошаговые описания дей-
действий, которые потребуется выполнить в процессе настройки средств СЕТ в маршру-
маршрутизаторах Cisco. В главе описываются команды Cisco IOS, используемые для настрой-
настройки и тестирования средств СЕТ. Порядок описания команды соответствует порядку, в
котором их необходимо вводить, чтобы указанные средства начали работать.
Часть VI. Виртуальные частные сети, использующие IPSec
Глава 15, "Поддержка IPSec в сетях Cisco", представляет обзор средств IPSec и со-
соответствующих протоколов, поддерживаемых продуктами Cisco и используемых для
создания виртуальных частных сетей (сетей VPN). В данной главе рассмотрены все
протоколы IPSec, а в последующих главах подробно обсуждаются вопросы настройки
средств поддержки IPSec в продуктах Cisco.
Глава 16, "Настройка Cisco IOS для поддержки IPSec", обсуждает вопросы на-
настройки IPSec в маршрутизаторах Cisco для аутентификации с помощью предвари-
предварительно согласованных общих ключей и шифрования RSA в топологии узел-узел.
Сложный процесс конфигурации IPSec представлен в виде ряда последовательно ре-
решаемых задач и выполняемых действий.
Глава 17, "Настройка IPSec в брандмауэре PIX Firewall", рассматривает вопросы
настройки IPSec в брандмауэрах PIX Firewall для аутентификации с помощью предва-
предварительно согласованных общих ключей в топологии узел-узел. Задача настройки
IPSec представлена в виде пошаговых инструкций, в которых показаны все команды,
заставляющие функционировать эти средства защиты.
Глава 18, "Масштабирование сетей IPSec", разъясняет, как настроить сеть IPSec,
включающую маршрутизаторы Cisco и брандмауэры PIX Firewall, чтобы она была
масштабируемой, могла поддерживать большое число использующих IPSec сторон и
обеспечивала надежную защиту. В главе показано, как обеспечить поддержку центров
сертификации и настроить средства удаленного доступа для клиентов виртуальных ча-
частных сетей Cisco.
28 . Введение

Часть VII. Приложения
Приложение А, "Структура сети компании XYZ", предлагает практический пример
использования средств сетевой защиты в гипотетической компании XYZ, что помога-
помогает связать воедино теоретические принципы безопасности и соответствующие проце-
процедуры реализации, рассмотренные в книге. Указанные в данном приложении IP-адреса
и параметры внешних устройств используются для примеров конфигурации во всех
главах книги.
Приложение Б, "Политика сетевой защиты компании XYZ", содержит описание
политики защиты сети компании XYZ, используемой для примеров во всех главах
книги. В данном приложении сформулированы требования политики, решающие ос-
основные вопросы защиты сети предприятия.
Приложение В, "Настройка стандартных и расширенных списков доступа", пред-
предлагает краткое описание структуры списков доступа Cisco IOS, используемых многи-
многими средствами защиты в маршрутизаторах Cisco. Приводятся также списки команд
настройки стандартных и расширенных списков доступа IP.
Приложение Г, "Ответы на контрольные вопросы", содержит ответы на контроль-
контрольные вопросы, имеющиеся в конце каждой главы.
Введение 29

¦¦*Чйа

Часть
I
Выбор политики защиты
Гла||||1. Угрозы безопасности сети
!нка политики защиты
инфраструктуры сети
Глава
'¦' 'S
¦,'¦'•¦
*'%¦
*
''IV -'S W
Ш

Изучив материал этой главы, вы сможете выполнить следующие задачи. ''-.' ": Й/, %
• Определить необходимый урове.нь-защиты,сети.^<;;4_, ,Аа-"Ж>'-------*»
• Выяснить главные причины проблем, возникающих при'зЕщите сети. "'
• Дать характеристику нарушителей защиты и указать мотивы их действий.
• Идентифицировать типичные угрозы безопасности сети.»
• Выбрать контрмеры, с помощью которых решается задача противодействия ата-
атакам нарушителей на систему защиты сети. , ,,.
..¦¦;' : ,:' »;¦ /.... ,/ч '• №¦ ¦ :~ф
ш

Глава
1
I Угрозы безопасности сети
1 В этой главе рассматриваются потенциальные угрозы безопасности сети предпри-
,. ятия. На основе изучения главных задач защиты и соответствующих проблем, возни-
кающих.перед администратором сети, в главе обосновывается необходимость защиты
сети: и формулируются три основные причины уязвимости защиты. Предлагается
классификация основных типов нарушений и характеристика нарушителей, чтобы вы
могли лучше понять мотивы и цели вашего противника. Здесь рассматриваются раз-
^личные типы наиболее часто возникающих угроз, а также средства, используемые для
MW' и#реализации, и средства, призванные препятствовать им. В главе содержится крат-
|i кое описание основных средств и методов, применяемых при таких нарушениях безо-
|| пасности сети, какразведка, несанкционированный доступ, блокирование сервиса и
"' подтасовка данных. Обзор типов нарушений сетевой защиты содержит также некото-
некоторые рекомендации относительно того, как можно помешать противнику реализовать
такие нарушения. Глава заканчивается списком ресурсов, доступ к которым поможет
f.'i- расширить знания о защите от нарушителей и злоумышленников в сети.
'.'г "¦ ""'\ . '¦•
Необходимость защиты сети
Распространение Internet быстро меняет наши представления о том, как следует вести
дела, учиться, жить и отдыхать. Особое влияние это оказывает па способы ведения бизнеса
и управления на глобальном уровне. Лидеры мирового бизнеса бесспорно признают стра-
f¦¦;' тегическую роль Internet в деле сохранения жизнеспособности и конкурентоспособности
^ их компаний в XXI столетии. Потребители и конечные пользователи желают иметь на-
надежно защищенные средства коммуникаций и ведения электронной торговли. К сожале-
сожалению, из-за того, что Internet изначально была основана на открытых стандартах, обеспечи-
обеспечивающих простоту связи, были упущены некоторые ключевые компоненты зашиты, к кото-
которым, например, можно отнести контроль удаленного доступа, тайну коммуникаций и
защиту от помех в предоставлении сервиса. Необходимость зашиты коммуникаций в
i'':'¦¦ Internet вызвала бурное развитие технологий защиты сетей вообще.
Ш ' Перед деловыми'кругами встала пугающая проблема: i&k реализовать и совершенство-
совершенствовать средства и методы защиты, чтобы уменьшить уязвимость бизнеса в условиях постоян-
постоянного роста угрозы нарушения защиты, вызванного развитием хакерских методов.
*-? Подходящее'для всех решение проблемы сетевой безопасности предложить трудно, по-
поскольку для локальной сети учебного заведения эффективными могут оказаться одни ре-
I- ^шения, а для глобальной сети — совсем другие. Некоторые решения защиты хороши для
^ ж малых предприятий, но оказываются неприемлемыми для крупных организаций по при-

чине трудоемкости, слишком высокой стоимости или чрезмерных затрат времени, требуе-
требуемых на реализацию таких решений в больших сетях. Выход в Internet создает дополни-
дополнительную угрозу безопасности в связи с тем, что сетевой злоумышленник получает потен-
потенциальную возможность доступа к инфраструктуре данных компании.
Проблема защиты, стоящая перед современным бизнесом, сводится к задаче рассмот-
рассмотрения всего спектра имеющихся решений и выбора правильной их комбинации. Сегодня
предлагается немало технологий и соответствующих средств защиты. Трудность реализа-
реализации защиты сети заключается не в отсутствии подходящей технологии защиты, а в выборе
из множества решений такого, которое лучше всего подойдет для вашей конкретной сети
и требований вашего бизнеса и при котором затраты на поддержку и сопровождение
средств защиты, предлагаемых соответствующим поставщиком, окажутся минимальными.
После того как сетевой инженер или администратор выберет подходящий набор
средств защиты для сетевой среды, потребуются также и средства, интегрирующие все
это в рамках соответствующего предприятия и обеспечивающие осуществление цело-
целостной и согласованной политики защиты, что в сегодняшних условиях является со-
совсем непростым делом. Компания Cisco уже сегодня предлагает широкий спектр
средств сетевой защиты, а еще больше аппаратных и программных средств находится
в процессе разработки и должны появиться в недалеком будущем. Средства защиты
Cisco разрабатываются в рамках архитектуры Cisco SAFE, представляющей собой ди-
динамический каркас защиты для сетей электронного бизнеса.
Причины возникновения
проблем защиты
Доступ к внутренней сети, удаленный доступ и доступ в Internet сегодня исполь-
используются довольно широко. Но это порождает определенный риск и ставит целый ряд
вопросов безопасности. Сеть и аппаратные средства, используемые для доступа к се-
сети, могут содержать дефекты зашиты, могут быть неправильно установлены или на-
настроены, а также могут неправильно использоваться. После того как мы рассмотрим
типы и мотивы поведения нарушителей в сети, необходимость защиты сети станет
очевидной. Эти вопросы рассматриваются в следующих разделах.
Три главные причины проблем защиты
Существует по крайней мере три основные причины возникновения угроз за-
защиты сети.
• Технологические недостатки. Каждая сеть и каждая компьютерная технология
имеют свои проблемы защиты.
• Недостатки конфигурации. Даже самая надежная технология защиты может быть
неправильно реализована или использована, результатом чего может оказаться
появление проблем защиты.
• Недостатки политики защиты. Неподходящая или неправильно реализуемая по-
политика защиты может сделать уязвимой даже самую лучшую технологию сете-
сетевой защиты.
В мире есть люди, имеющие желание, достаточную квалификацию, а подчас и ма-
материальную заинтересованность для того, чтобы использовать известные недостатки
34 Часть I. Выбор политики защиты

защиты, постоянно открывать и эксплуатировать новые. Известные недостатки защи-
защиты сетей достаточно подробно рассматриваются в следующих разделах.
Технологические недостатки
Компьютерные и сетевые технологии имеют свои внутренние проблемы защиты.
Мы собираемся рассмотреть недостатки, присущие TCP/IP, операционным системам
и сетевому оборудованию (рис. 1.1).
Операционная система
•Каждая имеет свои уязвимые
места и недостатки, которые
можно использовать
TCP/IP наблюдение
• Слежение за пакетами и
манипуляция ими
• Ограничения сетевой
файловой системы
• Возможности доступа telnet
• Возможности доступа sendmail
к корневому уровню системы
Сетевое оборудование
• Ненадежные пароли
•Доступ через люки или лазейки
• Технические недостатки
•Бреши в брандмауэре
• Необходимость использования
"заплат", исправляющих
недостатки защиты
Рис. 1.1. Технологические недостатки защиты сетевых и компьютерных
компонентов
Архивы CERT (Computer Emergency Response Team — группа компьютерной "скорой
помощи") на странице www.cert.org документируют многочисленные технологические
недостатки защиты самых разных протоколов, операционных систем и сетевого обору-
оборудования. Экспертные рекомендации CERT касаются проблем защиты Internet-
технологий. Они объясняют суть проблемы, помогают выяснить, имеет ли проблема от-
отношение к вашей конкретной сети, предлагают возможные пути ее решения, а также
предоставляют информацию о поставщике соответствующего оборудования.
Недостатки TCP/IP
Протокол TCP/IP разрабатывался как открытый стандарт, чтобы упростить связь в
сети. Службы, средства и утилиты, построенные на его основе, тоже разрабатывались
с целью поддержки открытых коммуникаций. Рассмотрим некоторые особенности
TCP/IP и соответствующих сервисов, характеризующие их внутреннюю уязвимость.
• Заголовки пакетов IP, TCP и UDP и их содержимое могут быть прочитаны, из-
изменены и посланы повторно так, чтобы это не было обнаружено.
• Сетевая файловая система (NFS) позволяет получить незащищенный довери-
доверительный доступ к хостам. NFS не обеспечивает аутентификацию пользователей
и использует случайные номера портов UDP для сеансов связи, что практиче-
практически не дает возможности ограничить протокольный и пользовательский доступ.
• Telnet является мощным средством, предоставляющим пользователю возмож-
возможность доступа ко многим утилитам и службам Internet, которые иначе оказыва-
Глава 1. Угрозы безопасности сети
35

ются недоступными. Используя Telnet и указывая номер порта вместе с именем
хоста или IP-адресом, хакеры могут начать интерактивный диалог с сервисами,
которые считаются недостаточно защищенными.
• В системе UNIX демон sendmail может позволить доступ к корневому уровню
UNIX, в результате чего возможен нежелательный доступ ко всей системе. Сер-
Сервис sendmail представляет собой программу, используемую для обмена элек-
электронной почтой в UNIX. Эта сложная программа имеет длинную историю про-
проблем защиты. Вот некоторые из них:
• sendmail можно использовать для получения доступа к корневому уровню
UNIX путем внедрения соответствующих команд в фальсифицированные
сообщения электронной почты;
• sendmail позволяет выяснить тип операционной системы, в которой выпол-
выполняется эта программа (по номеру версии, возвращаемой фальсифицирован-
фальсифицированными сообщениями); эта информация может использоваться для того, что-
чтобы начать атаку точек уязвимости конкретной операционной системы;
• sendmail можно использовать для того, чтобы выяснить, какие узлы принад-
принадлежат домену с данным именем;
• sendmail можно использовать для того, чтобы направить почту по несанк-
несанкционированным адресам.
Недостатки операционных систем
Каждая операционная система тоже имеет свои проблемы защиты. Linux, UNIX,
Microsoft Windows 2000, Windows NT, Windows 98, Windows 95 и IBM OS/2 — все они
имеют недостатки, которые были обнаружены и зафиксированы документально.
Архивы CERT содержат описания проблем защиты многих операционных систем. Ка-
Каждый поставщик или разработчик операционных систем имеет информацию о известных
проблемах защиты и методах их решения. Вероятно, существует немало проблем защиты
операционных систем, которые еще предстоит обнаружить, документировать и решить.
Недостатки сетевого оборудования
Сетевое оборудование любого производителя имеет свои недостатки защиты, кото-
которые тоже должны быть выяснены и в отношении которых должны быть приняты со-
соответствующие меры. Примерами таких недостатков являются ненадежная защита па-
пароля, отсутствие средств аутентификации, незащищенность протоколов маршрутиза-
маршрутизации и бреши брандмауэров. Выявленные недостатки защиты сетевого оборудования
большинство производителей исправляют достаточно быстро. Обычно такие недостат-
недостатки исправляются с помощью программной "заплаты" или путем обновления опера-
операционной системы оборудования.
Бреши позволяют неуполномоченным пользователям получить несанкциониро-
несанкционированный доступ или повышенные привилегии доступа к системе. Причиной может
оказаться дефект аппаратных средств или программного обеспечения. Большинство
брешей в сетевом оборудовании и сетевых устройствах хорошо известны и документи-
документированы, например, на страницах консультационного центра CERT. Компания Cisco
извещает пользователей и сообщество Internet о потенциальных проблемах защиты в
продуктах Cisco через консультационный центр защиты Internet (Internet Security Ad-
Advisories, www.cisco.com/warp/customer/707/advisory.htmt). Для доступа к этому ресурсу
36 Часть I. Выбор политики защиты

требуется пароль ССО. Соответствующие материалы, публикуемые Cisco, обычно в
реферативном виде можно найти и на Web-странице CERT.
Обратите внимание на то, что предварительные и ограниченные версии программ-
программного обеспечения Cisco IOS чаще содержат неизвестные бреши, в отличие от полных
и окончательных версий, которые тестируются более тщательно.
Недостатки конфигурации
Недостатки конфигурации, показанные на рис. 1.2, близки к технологическим.
Они возникают вследствие неправильной конфигурации сетевого оборудования, ис-
используемого для решения выявленных или потенциальных проблем защиты. Следует
заметить, что если недостатки конфигурации известны, их обычно можно легко ис-
исправить с минимальными затратами.
Консоль
Консольный порт
Сетевое оборудование
Serial О
permit ip any any
Ethernet 0
Компьютеры
Рис. 1.2. Проблемы защиты, возникающие по причине неправильной
конфигурации или неправильного использования оборудования
Вот несколько примеров недостатков конфигурации.
• Недостаточная защита, обеспечиваемая установками по умолчанию. Установки по
умолчанию многих продуктов оставляют открытыми бреши в системе защиты.
Пользователи должны проконсультироваться с фирмой-производителем или со-
сообществом пользователей о том, какие установки по умолчанию порождают
слабость защиты и как их следует изменить.
• Неправильная конфигурация сетевого оборудования. Неправильная конфигурация
оборудования может вызывать серьезные проблемы защиты. Например, непра-
неправильная структура списков доступа, протоколов маршрутизации или групповых
строк SNMP может открывать широкие бреши в системе защиты.
• Незащищенные учетные записи пользователей. Если информация об учетных за-
записях пользователей передается по сети открыто, это дает возможность исполь-
использовать имена пользователей и пароли злоумышленникам.
Глава 1. Угрозы безопасности сети
37

• Учетные записи пользователей, использующих слишком простые пароли. Эта ши-
широко распространенная проблема возникает в результате выбора пользователя-
пользователями легко угадываемых паролей из ограниченного множества вариантов. Напри-
Например, системы NetWare, UNIX и Windows NT могут содержать учетные записи с
именем пользователя guest и паролем guest.
• Неправильная настройка служб Internet. Общей проблемой является применение
Java и JavaScript в обозревателях Web, что открывает возможности для атак вне-
внедрения вредоносных аплстов Java. Сетевое оборудование или операционная
система компьютера могут допускать использование незащищенных служб
TCP/IP, позволяющих удаленный доступ к сети.
Информацию об этих недостатках и о правильной конфигурации сетевых уст-
устройств и компьютерных систем в целом можно получить через консультационные
центры CERT, из документации производителей сетевого оборудования и из инфор-
информационных документов RFC (Request for Comments — запрос комментариев), в кото-
которых описаны лучшие на текущий момент варианты конфигурации сети (как, напри-
например, в документе RFC 2827, "Фильтрация внешнего доступа к сети").
Недостатки политики защиты сети
Документированная и объявленная персоналу политика защиты является существен-
существенным компонентом защиты сети. Но некоторые проблемы защиты могут быть вызваны не-
недостатками самой политики защиты, и к таким проблемам можно отнести следующие.
• Отсутствие документированной политики защиты. Не представленную в виде набора
документов политику невозможно применять последовательно и принудительно.
• Внутренние политические противоречия. Политические баталии, закулисные вой-
войны и скрытые конфликты будут препятствовать проведению согласованной и
обязательной политики защиты.
• Отсутствие преемственности. Частая замена персонала, отвечающего за реализа-
реализацию политики защиты, ведет к непостоянству в политике защиты.
• Отсутствие логичного контроля доступа к сетевому оборудованию. Недостаточно
строго контролируемые процедуры выбора пароля пользователями открывают
несанкционированный доступ к сети.
• Небрежность администрирования, мониторинга и контроля. Неадекватный мони-
мониторинг, аудит и несвоевременное устранение проблем позволяют атаковать сис-
систему защиты и незаконно использовать сетевые ресурсы в течение длительного
времени, что означает расточительное использование средств компании и мо-
может привести к ответственности перед законом.
• Неосведомленность о возможности атаки. Организация может даже не знать о
нарушениях, если в организации не проводится регулярный мониторинг сети
или нет системы обнаружения сетевых вторжений вообще.
• Несоответствие программного обеспечения и аппаратных средств принятой поли-
политике защиты. Несанкционированные изменения топологии сети или установка
непроверенных приложений создают бреши в системе защиты.
• Отсутствие процедур обработки инцидентов защиты и плана восстановления сис-
системы. Отсутствие четкого плана обработки инцидентов защиты и восстановле-
38 Часть I. Выбор политики защиты

ния работоспособности сети предприятия в случае сетевой атаки приведет к
хаосу, панике и ошибочным действиям.
В главе 2 вопрос оценки надежности политики защиты рассматривается более
подробно.
Противника следует знать: мотивы действий
нарушителя
Вы сможете лучше защитить свою сеть, если будете знать, кем является нарушитель.
Люди, которые крадут у вас информацию, могут оказаться беспринципными. Они, ско-
скорее всего, достаточно умны для того, чтобы найти пути обхода статических схем защиты.
Для эффективной долгосрочной защиты вам придется создать крепкую архитектуру за-
защиты и выделить достаточные средства на непрерывный, многошаговый процесс со-
совершенствования защиты. Обратитесь к разделу ссылок в конце этой главы для получе-
получения дополнительной информации об истории реальных деяний хакеров.
В этой книге те, кто пытается получить доступ к сети или компьютерным ресурсам без
разрешения, будут называться нарушителями защиты сети, или просто нарушителями. На-
Нарушителем может быть кто угодно, но мы попытаемся помочь вам лучше узнать вашего
противника. Нарушитель может быть взломщиком (cracker) или хакером (hacker).
• Взломщик — это персона, которая использует передовые знания в области
Internet и сетей для того, чтобы, не имея соответствующего права, зондировать
или компрометировать сетевую защиту. Действия взломщика обычно содержат
злой умысел.
• Хакер — это персона, исследующая целостность и надежность защиты операци-
операционной системы или сети. Обычно это программист, использующий передовые
знания в области аппаратных средств и программного обеспечения и желаю-
желающий проверить систему новыми новаторскими способами. Нередко хакер сво-
свободно делится своими новыми знаниями с другими, обычно через Internet, что
может создавать дополнительные проблемы для его жертвы. Действия хакера
обычно не содержат злого умысла, и хакер не пытается предложить свои услуги
в Internet. Хакеров иногда называют "нравственными хакерами" или "хакерами
в белых шляпах" ("white hat" hackers).
Мотивы действий сетевых нарушителей довольно разнообразны, но всех наруши-
нарушителей можно отнести к категориям внутренней или внешней угрозы.
Внутренние угрозы
Внутренние угрозы исходят изнутри организации вследствие соответствующих
умышленных или неумышленных действий служащих.
• Служащие с недостойными намерениями. Служащие, преднамеренно проверяю-
проверяющие уязвимость защиты с целью получения прибыли или с целью кражи.
• Служащие, совершающие непреднамеренные нарушения. Служащие, которые случай-
случайно загрузили вирус или другую опасную для системы программу или случайно по-
получили доступ к важной части внутренней сети или главному компьютеру.
• Служащие, неправильно использующие сетевую среду. Служащие, по незнанию
использующие ненадежные пароли или неправильную конфигурацию сетевого
оборудования.
Глава 1. Угрозы безопасности сети 39

Внешние угрозы
Внешние угрозы исходят от объектов, находящихся вне организации, также вслед-
вследствие умышленных или неумышленных действий.
• Любители острых ощущений. Многие нарушители атакуют сети просто ради удо-
удовольствия или с тем, чтобы произвести соответствующее впечатление.
• Конкуренты. Ваш успех может привлечь конкурентов, заинтересованных в дос-
доступе к информации, важной с точки зрения конкуренции.
• Враги. Правительства многих стран обеспокоены информационными войнами дру-
дружественных или враждебных государств, мотивируемыми национализмом, фана-
фанатизмом или идеологическими соображениями. Например, в ходе конфликта в Ко-
Косово на Web-узле НАТО наблюдалось заметное повышение активности хакеров.
• Похитители. Нарушители могут искать конкретную ценную информацию, на-
например, с целью ее продажи или использования.
• Шпионы. Промышленный шпионаж сегодня распространяется все шире и шире.
• Враждебно настроенные бывшие служащие. Служащие, знающие внутреннюю
структуру сети, могут преследовать цели отмщения, извлечения прибыли или
морального удовлетворения.
• Другие. Люди могут вторгаться в сеть по различным причинам: из спортивного
интереса или желания исследовать сеть, от скуки или любопытства или же с
целью получения признания.
Уровень знаний и характеристика нарушителей первой волны
Сетевые вторжения начинались людьми, стремящимися получить несанкциониро-
несанкционированный доступ к телекоммуникационным ресурсам. Для обозначения соответствую-
соответствующих действий обычно используют слово фрикинг (phreaking). Нарушитель первой вол-
волны имел определенный уровень мастерства и обладал следующими характеристиками.
• Он умел практически использовать несколько языков программирования:
• С, C++ — важнейшие языки программирования;
• Perl — язык компьютерных сценариев;
• CGI (Common Gateway Interface — общий шлюзовой интерфейс) — интер-
интерфейс программирования серверных приложений Web;
• Microsoft Visual Basic (VB) — дружественная среда программирования;
• Java — переносимая производная С и C++.
• Имел глубокие знания в области использования протоколов TCP/IP, сервисов и
соответствующих средств.
• Был хорошим специалистом по использованию Internet.
• Досконально знал, как минимум, две операционные системы. Например, мог
использовать UNIX и DOS или UNIX и VMS.
• Имел работу, связанную с использованием компьютеров или сетей. Получал
удовольствие от работы с компьютерным оборудованием, что воспринимал как
образ жизни.
• Собирал аппаратные средства и программное обеспечение. Имел возможность
работать с самыми разными компьютерами.
40 Часть I. Выбор политики защиты

Уровень знаний и характеристика современных нарушителей
Методы сетевого вторжения и соответствующие средства теперь широко известны
и доступны. Давайте рассмотрим характеристику и уровень знаний современного на-
нарушителя.
• Он может загрузить созданные кем-то другим программные средства из Internet
с хакерских узлов или досок объявлений. (Существует огромное множество
средств сетевого вторжения и тестирования, а их исходные тексты широко дос-
доступны. Более того, каждый день появляются новые такие средства. При этом
требуется только умение использовать компилятор для генерирования испол-
исполняемого файла из исходного текста хакерской программы.)
• Умеет творчески использовать уже имеющиеся сценарии и утилиты для втор-
вторжения в сеть и вычислительные системы. Может применять средства автомати-
автоматического зондирования сети для выявления слабых мест защиты.
• Находится в той возрастной группе, когда имеется достаточно времени на экс-
эксперименты и разработку соответствующих методов. Обычно это студент или
большой любитель технологических новинок. (Системные администраторы на-
называют его "юным сценаристом", поскольку его атаки, как правило, строятся
на сценариях и программах, созданных другими.)
Обратите внимание на то, что действия современных нарушителей менее разнооб-
разнообразны, но и в этом случае необходимо найти методы, позволяющие помешать их вы-
выполнению.
Типы угроз безопасности сети
Диапазон угроз безопасности настолько широк, что невозможно подвергнуть их
полной классификации и разработать совершенную систему защиты от них. Давайте
рассмотрим наиболее часто встречающиеся типы угроз безопасности сети.
• Разведка
• Несанкционированный доступ
• Блокирование сервиса
• Подтасовка данных
Эти категории угроз свидетельствуют об уязвимости сети и характеризуются атри-
атрибутами компьютера, позволяющими кому-либо начать враждебные действия против
соответствующих сетевых объектов. В данном случае враждебное действие означает
метод извлечения выгоды из уязвимости с помощью некоторой процедуры, сценария
или программы. Целью такого действия является сбор имеющейся информации
(разведка), блокирование системы обслуживания легальных пользователей, получение
несанкционированного доступа к объектам и данным или подтасовка данных.
Враждебные действия имеют выдающую их сигнатуру — отличительное распознавае-
распознаваемое состояние или изменение состояния. Системы обнаружения вторжений, такие как
CiscoSecure IDS (Intrusion Detection Systems — система обнаружения вторжений), могут
распознавать сигнатуры враждебных действий непосредственно в ходе их выполнения.
Обнаружив сигнатуры враждебных действий, можно использовать соответствующие
контрмеры, либо устраняющие точку уязвимости вообще, либо блокирующие выполнение
Глава 1. Угрозы безопасности сети 41

враждебных действий в данной точке. Изучение уязвимости систем представляет собой ис-
исследование категорий уязвимости и соответствующих им враждебных действий.
В следующих разделах мы рассмотрим четыре категории уязвимости и соответст-
соответствующие им враждебные действия.
Разведка
Разведка представляет собой несанкционированное выявление структуры сети, по-
построение ее карты и мониторинг систем, служб и точек уязвимости сети. К ней также
относят мониторинг сетевого трафика. Разведка может быть активной или пассивной.
Информация, полученная в результате атак разведки, может затем использоваться для
проведения атак другого типа в той же сети или для того, чтобы осуществить хищение
важных данных. На рис. 1.3 показано, в каких именно точках сети предприятия могут
предприниматься попытки провести разведывательные атаки.
Удаленное
подразделение
Маршрутизатор
периметра
Анализатор протокола,
физически размещенный
в сети
Утилиты развертки
ping и сканирования
портов, используемые
для обнаружения
периметра сети
Удаленный
клиент
"Грязная"
ДМЗ
Утилита захвата
пакетов,
размещенная
в бастионном узле
Маршрутизатор
территориальной
сети
Клиент Сервер
Удаленный доступ
Защищенная
ДМЗ
Утилита захвата
пакетов, размещенная
в бастионном узле
Сервер SMTP с
тайно
установленной
Esniff.c
Сервер CiscoSecure ACS
Рис. 1.3. Точки проведения разведывательных атак
42
Часть I. Выбор политики защиты

Атаки разведки могут иметь форму выявления целей, перехвата сообщений и кра-
кражи информации. В следующих разделах будут рассмотрены типы разведывательных
атак, соответствующие враждебные действия нарушителей, а также описаны контрме-
контрмеры, применяемые для противодействия таким атакам.
Выявление мелей
В данном случае выявление целей означает определение имен доменов и соответ-
соответствующих IP-адресов, выяснение диапазона IP-адресов организации или IP-адресов
конкретных узлов. Для конкретного узла можно выяснить список доступных сервисов
или какую-то иную информацию об этом узле. Например, хакер может попытаться
узнать IP-адрес интерфейса маршрутизатора периметра сети, обеспечивающего связь с
поставщиком услуг Internet, чтобы получить возможность атаковать этот маршрутиза-
маршрутизатор. Выявление целей может быть проведено с помощью общих команд опроса сети,
развертки ping и сканирования портов.
Сетевые команды
Для разведки можно использовать сетевые команды, доступные в UNIX, Windows
и Linux, — это ping, whois, finger, rusers, nslookup, rpcinfo, telnet, dig, nmap, а так-
также другие команды и утилиты, обеспечивающие информацию о сети и ее узлах. Ис-
Использовать эти команды можно научиться самостоятельно или на примерах утилит
общего пользования, объединяющих команды запроса для выполнения конкретных
задач. Некоторые утилиты можно использовать для сбора информации о сетевых уст-
устройствах путем отправки специально создаваемых для этого пакетов и последующего
анализа параметров и опций заголовка IP пакетов, посылаемых в ответ на них.
Развертка ping
Хотя для сбора информации о сети и ее узлах можно использовать саму команду ping,
были разработаны утилиты развертки ping, автоматизирующие выявление узлов внутри се-
сети или подсети. Утилита развертки ping просматривает диапазон IP-адресов и используется
для того, чтобы построить карту сети. Эта утилита применяется также для выявления по-
потенциальных целей, на которых следует сосредоточиться для глубинной разведки. Команда
ping генерирует направляемое конкретному узлу сообщение ICMP Echo Request (запрос
отклика ICMP; ICMP — это аббревиатура, обозначающая протокол контроля сообщений в
сети Internet). Узел должен ответить соответствующим набором сообщений ICMP. Иногда
утилита развертки ping комбинирует запросы отклика ICMP с другими сообщениями
ICMP (например, с сообщениями ICMP Timestamp, ICMP Address Mask или ICMP Infor-
Information Request), чтобы собрать дополнительную информацию.
Сканирование портов
После выявления интересующего узла хакер может выполнить сканирование пор-
портов. Утилита сканирования портов проверяет заданный диапазон портов TCP или
UDP с целью выявления доступных сетевых служб типа Telnet, FTP, HTTP или RCP.
Такое сканирование может быть общим, когда проверяется диапазон портов
(например, порты с номерами 1 — 1023), или специальным, когда внимание концен-
концентрируется на определенных портах, чтобы выявить, например, информацию об опера-
операционной системе, а также имена узлов или пользователей. Утилиты сканирования
портов могут использовать фрагментацию пакетов и устанавливать биты SYN и FIN в
заголовках TCP, чтобы скрыть факт сканирования.
Глава 1. Угрозы безопасности сети 43

После выявления интересующих портов противник может приступить к проведению
атаки против конкретного порта. Например, если хакер выяснит, что на данном узле
доступна служба SMTP (служба электронной почты), он может послать соответствую-
соответствующие команды SMTP с целью получения дополнительной информации или даже несанк-
несанкционированного доступа. Можно также попытаться получить доступ Telnet или FTP,
чтобы извлечь дополнительные сведения о данном узле из заголовков пакетов, посылае-
посылаемых в ответ на запрос доступа. Если хакер обнаружит, что на данном узле доступна
служба DNS (служба имен доменов), он может попытаться получить доступ к записям
HINFO (записи информации об узле) службы DNS. HINFO является необязательным
типом записи для сбора и анализа дополнительной информации о системе. Эта инфор-
информация обычно включает имя операционной системы и характеристики аппаратной
платформы, на базе которой работает система. Аргументов в пользу включения этой за-
записи в базу данных совсем немного, тем более что она открывает противнику весьма
ценную информацию. Сканеры портов могут исследовать открытые порты недостаточно
защищенных пользователей или уязвимость удаленного доступа.
Для проведения атак развертки ping и сканирования портов используются такие средст-
средства, как SATAN (System Administrators Tool for Analyzing Networks — средство системного
администратора для анализа сети), сканеры защиты, поставляемые производителями сете-
сетевых продуктов, portscan.c, nmap и neptune (сканеры портов Linux, сообщающие об актив-
активных сервисах других узлов) и другие общедоступные сканеры (типа Network Toolbox).
Перехват сообщений
Перехват сообщений (сбор информации) является методом пассивного наблюдения
за сетевым трафиком с помощью некоторого устройства или утилиты. Цель перехва-
перехвата — выявление структуры потока данных, а также сбор данных для последующего
анализа и кражи информации. Синонимами понятия "перехват" являются сетевое
слежение и анализ пакетов. Информация, собранная посредством перехвата, может
использоваться для подготовки других типов сетевых атак или кражи информации.
Типичным способом перехвата сообщений в области коммуникаций является захват
пакетов TCP/IP и декодирование их содержимого с помощью анализатора протокола
или иной подобной утилиты. Захваченные пакеты с данными процедуры входа в сеть
нарушитель может воспроизвести вновь, чтобы попытаться получить доступ к сети.
С помощью перехвата сетевые нарушители могут выяснить имена и пароли поль-
пользователей (чтобы получить право доступа к узлам сети), извлечь из пакета такие дан-
данные, как номер кредитной карточки, или другую частную информацию.
Примером данных, подходящих для перехвата, являются строки идентификации
(community string) SNMP версии 1, посылаемые в открытом виде. Перехватив запрос
SNMP, нарушитель может получить ценную информацию о конфигурации сетевого
оборудования.
Средства перехвата описываются в табл. 1.1.
Таблицах.!. Средства перехвата v=, Д,.
Категория Средство Описание
Утилиты tepdump, esnif f. с для UNIX Утилиты, устанавливаемые в соответствую-
захвата пакетов linsnif fer.c для Linux тем узле. Требуют наличия сетевой интер-
Инспектор сети Microsoft (Network Monitor) фейсной платы, работающей в беспорядоч-
для Windows NT ном режиме
44 Часть I. Выбор политики защиты

Окончание табл. 1.1
Категория
Средство
Описание
Анализаторы Network Associates Sniffer или NetXray
протоколов Анализаторы протоколов Hewlett Packard
(Internet Advisor)
Программное обеспечение, устанавливае-
устанавливаемое в соответствующем узле или специа-
специализированном тестовом оборудовании
Кража информации
Перехват сообщений мало отличается от кражи информации. Кража может происхо-
происходить во время передачи данных по внутренней или внешней сети. Нарушитель может ук-
украсть данные и с компьютера сети, получив к нему несанкционированный доступ.
Цель сетевых вторжений заключается в использовании нарушителем файлов или
ресурсов, которые ему не принадлежат. Примером может служить подключение к сети
финансового учреждения и получение номеров кредитных карточек. Другим приме-
примером является доступ к файлу паролей и его копирование на другой компьютер, чтобы
в дальнейшем расшифровать этот файл.
В табл. 1.2 описываются методы противодействия разведывательным атакам в сети.
Таблица 1.2. ПЛетодь! противодействия разведь1вательнь1м атакам
Тип атаки Методы противодействия
Выявление целей Отключение ответа на команды типа finger и nslookup в маршрутизаторах и уз-
узлах сети. Использование системы обнаружения вторжений для выявления попыток
получить ответы на такие запросы
Развертка ping Отключение ответа на команды ping и использование системы обнаружения втор-
вторжений для выявления соответствующих попыток
Сканирование Использование сканера портов для выявления открытых портов. Отключение невос-
портов требованных сервисов в маршрутизаторах и узлах сети, а также использование
системы обнаружения вторжений для выявления попыток сканирования портов. Это
уменьшит уязвимость системы в отношении синхронных атак (лавинных атак SYN)
Перехват Ограничение физического доступа к сетевому оборудованию, исключающее воз-
возможность размещения анализаторов протокола в подходящих точках сети.
Использование коммутаторов Ethernet для разделения внутренней сети на локаль-
локальные сегменты с целью предотвращения возможности захвата всего сетевого трафи-
трафика с одной рабочей станции.
Принятие мер, гарантирующих невозможность несанкционированного доступа к
хостам и размещения утилит захвата пакетов. Использование программ проверки
целостности систем для выявления файлов, размещенных без разрешения.
Использование на важных узлах сетевых интерфейсных плат, которые нельзя пере-
переключить в беспорядочный режим работы. Физическая проверка всех узлов на
предмет наличия интерфейсов, работающих в беспорядочном режиме. Использова-
Использование программного обеспечения типа ерш и if status для выявления интерфейсов,
работающих в беспорядочном режиме.
Применение шифрования данных для защиты содержимого пакетов при передаче
через незащищенные сети. Шифрование должно соответствовать уровню защиты
данных, необходимому для организации, и не должно создавать неадекватную на-
нагрузку на ресурсы системы или слишком обременять пользователей
Глава 1. Угрозы безопасности сети
45

Несанкционированный доступ
Нарушитель может пытаться получить несанкционированный удаленный доступ к
компьютерам сети или сетевым устройствам самыми разными способами. Общей це-
целью нарушителей является получение прав корневого пользователя (UNIX) или адми-
администратора (Windows NT) на том компьютере, где он имеет больше возможностей для
управления интересующей его системой или для доступа к другим компьютерам сети.
На рис. 1.4 показаны основные точки сети, в которых нарушитель может пытаться
получить несанкционированный доступ.
Получение первичного доступа
Сетевому нарушителю обычно сначала требуется получить доступ к любому узлу
сети, чтобы затем попытаться выйти за рамки этого узла и проникнуть в связанные
сети. Он устанавливает соединение с узлом, не имея на это право, чтобы затем попы-
попытаться найти бреши, позволяющие получить привилегированный доступ (например,
права корневого пользователя в системе UNIX).
_"Грязная"
ДМЗ
Удаленное -*¦
подразделение
Маршрутизатор
периметра
Бастионный узел
Нарушитель
защиты сети
Брандмауэр
PIX Firewall
Бастионный узел
Маршрутизатор
территориальной
сети
Сервер
доступа
к сети
Неуполномоченный
пользователь
Защищенная
ДМЗ
Нарушитель
защиты сети
Удаленный
доступ
Сервер CiscoSecure, Сервер Сервер
Web, TFTP, Syslog SMTP DNS
Рис. 1.4. Точки проведения атак несанкционированного доступа к сети
46
Часть I. Выбор политики защиты

Обычно нарушитель сначала пытается получить как можно больше информации об
интересующем его узле с помощью методов разведки, а затем использует эту инфор-
информацию для того, чтобы получить первичный доступ. Обычно сначала выясняется IP-
адрес узла, в который можно проникнуть, а потом используется анализатор пакетов
для перехвата имен и паролей пользователей. Посредством сканирования портов на-
нарушитель может искать уязвимые сервисы Internet, позволяющие удаленный доступ.
Для получения первичного или даже привилегированного доступа нарушитель мо-
может использовать психологические методы. Психология открывает путь к преодоле-
преодолению аппаратной защиты через получение нужной информации от того, кому она из-
известна (здесь имеются в виду как имена и пароли пользователей, так и другие данные,
важные для получения удаленного доступа).
Нарушитель может пытаться получить доступ к сети, используя удаленный доступ и
"звонилки" — программы, упрощающие процедуру набора телефонных номеров в задан-
заданном диапазоне с целью обнаружения портов данных, присоединенных к модемам.
Наконец, нарушитель может работать и внутри организации, будучи легальным
пользователем ее сети. Такой нарушитель может использовать свое служебное поло-
положение или доверие другого сотрудника. Поскольку внутренний пользователь имеет
привилегии легального пользователя системы, он находится внутри области, ограни-
ограниченной брандмауэром, а потому имеет возможность практически свободного исследо-
исследования внутренней сети.
Преодоление парольной защиты
Разнообразие атак на систему парольной защиты повышает шансы нарушителя
получить удаленный доступ. Зная учетное имя одного из легальных пользователей се-
сети, он может попытаться угадать пароль этого пользователя путем простого перебора
вариантов (в надежде, что пользователь создал легко угадываемый пароль). Безопаснее
всего получить доступ к узлу сети через "парадную дверь", т.е. с помощью общей для
всех процедуры входа в сеть (login). Поэтому нарушитель предпочтет найти пароль,
который позволит получить первичный доступ.
Пересылаемые в виде открытого текста имена и пароли пользователей нарушитель
может захватить с помощью анализатора пакетов. Можно также попытаться получить
файл всех паролей, например /etc/passwd в UNIX или улей SAM (Security Account
Manager — администратор учетных данных системы защиты) в Windows NT, чтобы за-
затем попробовать выяснить пароли с помощью утилиты взлома паролей. Эта утилита
на самом деле не "взламывает" пароли, а просто угадывает их, используя компьютер-
компьютерную мощь для сравнения хэш-кодов паролей. Утилиты взлома паролей широко дос-
доступны как для UNIX, так и для NT. Нарушитель затем использует найденные имена и
пароли для получения доверительного доступа к соответствующему компьютеру сети.
Защититься от атак парольной защиты можно с помощью последовательно прово-
проводимой политики выбора трудноугадываемых и труднораскрываемых паролей, которые
должны содержать символы, отличные от букв и цифр, а также символы обоих реги-
регистров. Пересылка паролей через незащищенные сети должна осуществляться только в
зашифрованном виде, а файлы пароле*4, должны тщательно охраняться от возможно-
возможности удаленного доступа к ним.
Получение доверительного или привилегированного доступа
Надежный компьютер — это компьютер, над которым вы имеете административ-
административный контроль или в отношении которого вы сознательно принимаете решение о том,
что ему можно "доверять" доступ к вашей сети.
Глава 1. Угрозы безопасности сети 47

Получив доступ к компьютеру сети, нарушитель попытается перейти на более при-
привилегированный уровень или использует доверительные отношения между компьюте-
компьютерами, чтобы получить доступ к другим узлам сети. Целью получения доступа с более
высоким уровнем привилегий является достижение привилегий корневого уровня или
администратора узла, не имея привилегированной учетной записи. Чтобы получить
доступ к другим узлам, противник может имитировать обладающего доверием пользо-
пользователя (используя его имя и пароль) или надежный узел.
В системах UNIX чаще всего применяются команды, использующие возможности
надежных узлов, — rlogin, rsh и rep.
Для получения несанкционированного доступа к корневому уровню нарушители
могут также воспользоваться недостатками защиты операционной системы.
Получение повторного доступа
После получения первичного доступа нарушитель может попытаться обеспечить
себе тайную возможность для повторных обращений к узлу, уничтожив все признаки
своего вторжения, чтобы позже вернуться и использовать "взломанный" узел в каче-
качестве трамплина для достижения других целей. Чтобы "замести следы" несанкциони-
несанкционированного доступа, нарушитель может пытаться выполнить следующее:
• удалить соответствующие записи журналов трассировки удаленного доступа;
• переместить файлы с данными аудита в каталог /trap, содержимое которого в
конечном счете уничтожается;
• установить анализатор пакетов, чтобы иметь возможность наблюдать за сетевым
трафиком;
• создать для себя "черный ход", добавив подходящие имена и пароли пользователей
или установив программу "троянского коня" (например, rootkit или BackOrifice).
Уязвимость сервисов удаленного доступа
Многие IP-приложения и сервисы могут сделать узлы и сетевые устройства весьма
уязвимыми в отношении атак удаленного доступа. Эти приложения разрабатывались с
тем, чтобы упростить, а не защитить соответствующие возможности связи. Часть сер-
сервисов почти (или совсем) не имеет встроенных средств аутентификации, с помощью
которых можно было бы гарантировать, что удаленный пользователь имеет право дос-
доступа к сети. Неиспользуемые сервисы удаленного доступа к узлам сети и сетевому
оборудованию необходимо отключить.
В табл. 1.3 представлен ряд уязвимых сервисов IP, с указанием типа сервиса и
кратким описанием характера уязвимости.
южения и сервисы IP, уязвимые в отношении атак
^^^гЯ^ ¦^ ¦;: $?
Характер уязвимости
Команды г (BSD) При аутентификации удаленного доступа с помощью команд г проверяется только адрес
источника (который легко фальсифицировать с целью получения полного доступа к уда-
удаленным узлам, использующим этот сервис)
FTP Анонимный доступ FTP позволяет нарушителям читать и, возможно, записывать файлы
в узле сети. Не используйте этот протокол без особой надобности и обязательно кон-
контролируйте возможность записи
48 Часть I. Выбор политики защиты

Окончание табл. 1.3
Тип Характер уязвимости
finger Сервис finger используется для получения информации о пользователях, что может
оказаться первым шагом к выяснению их учетных имен
NFS Позволяет доступ к файлам удаленной системы. Имеет слабые средства аутентифика-
аутентификации запросов (IP-адрес источника, который легко фальсифицировать)
Telnet Предоставляет пользователю возможность удаленного доступа к командному процес-
процессору в открытом (незашифрованном) виде. Контролируется простым механизмом ау-
аутентификации (по имени пользователя и паролю), который легко обмануть
TFTP При доступе TFTP нарушители могут беспрепятственно перемещать файлы ввиду от-
отсутствия механизма аутентификации
SMTP, POP, MIME, Нарушители могут манипулировать средой sendmail с целью получения привилегий
sendmail корневого уровня
Серверы Web, HTTP Слабые точки защиты связаны с ошибками в программном обеспечении серверов, не-
неправильной конфигурацией и незащищенностью операционных систем. Аплеты Java,
JavaScript и ActiveX могут действовать, как вирусы или "троянские кони"
Уязвимость приложений удаленного доступа
Многие профаммы, используемые для связи в Internet, были написаны на языке С.
Для значений переменных эти профаммы используют буферы (области рабочей памяти
фиксированной длины). Нарушитель, знающий язык С, может сознательно пытаться пре-
превысить фиксированную длину буфера профаммы, чтобы вызвать переполнение буфера и в
конечном итоге получить несанкционированный доступ к выбранному им узлу. Вероятно,
самым известным примером использования ошибки переполнения буфера является
"червь" Morris Worm, распространявшийся в Internet в 1988 году. Переполнение буфера не
учитывается программистами довольно часто. От переполнения буфера можно защититься
с помощью установки самых последних версий профаммного обеспечения и соответст-
соответствующих "заплат", информацию о которых можно получить на Web-страницах консульта-
консультативных центров производителей профаммного обеспечения. ,
Нарушители защиты сети могут пытаться получить удаленный доступ, используя не-
недостатки операционной системы. Каждая операционная система имеет свои недостатки
защиты, и нарушитель может использовать их для получения несанкционированного дос-
доступа. Следует регулярно просматривать Web-страницы сетевых консультативных служб и
производителей программного обеспечения, чтобы знать, какие версии операционных сис-
систем являются наиболее защищенными, и устанавливать именно их.
Враждебные действия при несанкционированном доступе
После получения доступа к компьютерам сети нарушители могут использовать уз-
узлы сети в своих целях. Они могут без разрешения размещать в узлах файлы и другие
объекты, чтобы открыть свободный доступ к системе. Давайте рассмотрим примеры
несанкционированного размещения файлов.
• Файлы изображений. Несанкционированное использование компьютера для
создания библиотеки изображений в формате GIF и других электронных фор-
форматах. Изменение содержимого Web-узла, в частности имеющихся на нем фай-
файлов изображений GIF.
• Хакерские средства. Несанкционированное использование компьютера для хра-
хранения, тестирования и распространения программных средств, предназначен-
Глава 1. Угрозы безопасности сети 49

ных для сетевого вторжения. (Так эти средства становятся широко доступными
большим группам нарушителей сетевой защиты.)
• Программы для бесплатного распространения без лицензии. Для обозначения не-
несанкционированного распространения программного обеспечения используется
термин WareZ.
Методы противодействия атакам удаленного доступа
Для противодействия атакам удаленного доступа разработан ряд мер. Можно использо-
использовать маршрутизатор периметра Cisco, чтобы позволить доступ только к тем адресатам в
Internet, которые укажете вы. Кроме того, можно применять средства Cisco IOS, ограничи-
ограничивающие доступ к сервисам удаленного доступа, контролировать доступ пользователей к се-
сети, фильтровать поток данных на основе адресов источника и адресата, протокола или
порта или же использовать защиту типа замка (Lock and Key). Защита типа замка связыва-
связывает списки управления доступом с механизмом запросов/ответов, идентифицирующим
пользователей при попытках доступа к корпоративной или территориальной сети. В рам-
рамках периметра сети с помощью брандмауэра CiscoSecure PIX Firewall можно создать вто-
вторую линию защиты, ограничивающую доступ к внутренним узлам. Маршрутизаторы Cisco
и брандмауэр PIX Firewall могут взаимодействовать с сервером управления доступом
(CiscoSecure ACS), контролирующим доступ с учетом имени и пароля пользователя, а так-
также идентификатора запрошенного сервиса. В узлах сети можно просто отключить ненуж-
ненужные сервисы, установить программы удаленного доступа с усиленной защитой, проверить,
что операционные системы и серверы имеют правильную конфигурацию, их версии явля-
являются самыми последними и установлены все обновления и "заплаты", а также предпри-
предпринять иные меры, препятствующие проведению атак удаленного доступа. Кроме того, мож-
можно использовать систему обнаружения вторжений (CiscoSecure IDS), которая сканирует се-
сетевой поток на предмет наличия сигнатур атак удаленного доступа и выводит
предупреждающие сообщения при выявлении признаков атаки.
Методы противодействия атакам удаленного доступа представлены в табл. 1.4.
Таблица 1.4. Методы противодействия атакам Удаленного доступа ' ' \
Тип атаки Методы противодействия
Первичный Сокращение числа точек доступа к сети, контроль и пресечение попыток несанкционированного
доступ удаленного доступа к сети внутренними пользователями.
Использование сервера ААА (аутентификации, авторизации и аудита) для управления при-
привилегиями удаленного доступа, именами и паролями пользователей (например, в рамках
сервера CiscoSecure ACS).
Использование более защищенного протокола удаленного доступа (например, РРР, CHAP
или MS-CHAP).
Ограничение использования командной процедуры входа в сеть, требующей только па-
пароль, или отказ от ее использования вообще.
Применение средств "Lock and Key" системы защиты Cisco IOS
Парольные Проведение политики выбора трудноугадываемых и труднораскрываемых паролей.
атаки Выполнение программ взлома паролей на уровне администратора для выявления слабых паролей.
Использование ограничений времени, заставляющих пользователей часто менять пароли
Доверительный Усиленная защита доступа к корневому уровню или уровню администратора.
доступ Мониторинг и контроль доверительных отношений
50 Часть I. Выбор политики защиты

Окончание табл. 1.4
Тип атаки Методы противодействия
Повторный Сканирование системы на предмет появления вирусов и "троянских коней" (с помощью
доступ которых могут создаваться лазейки в системе).
Сканирование запросов на открытие портов от узлов, с которых такие запросы не ожидаются (что
может быть признаком присутствия "троянского коня").
Установка и использование программ проверки целостности файлов, обнаруживающих
несанкционированные изменения в структуре каталогов.
Применение шифрования для защиты данных на жестких дисках узлов
Сервисы Запрет использования всех ненужных сервисов и команд.
удаленного Проверка защищенности доверительных отношений между узлами.
доступа Установка защищенных версий программ, предлагающих сервисы Internet (в частности,
установка самых последних версий серверов Web, электронной почты и FTP).
Замена значений конфигурации, установленных по умолчанию (например, замена разре-
разрешения "чтение/запись для всех пользователей" на значение, которое определите вы)
Блокирование сервиса
Блокирование сервиса означает попытку нарушить или прекратить работу сети,
всей системы или отдельных сервисов, в результате чего отказ на запрос соответст-
соответствующих сетевых услуг получат и легальные пользователи. Нарушители сетевой защи-
защиты порой демонстрируют бессмысленное создание помех (ради удовольствия) в ис-
использовании общедоступных сервисов, что очень напоминает акт вандализма. Кроме
того, атаки блокирования сервиса используются и для проверки уязвимости системы,
и как прелюдия к дальнейшим атакам, и как средство сокрытия следов несанкциони-
несанкционированного доступа, и просто в отместку. Протокол IP весьма уязвим в отношении
атак блокирования сервиса, поэтому существует множество типов таких атак, тем бо-
более что они реализуются так же просто, как сравнительно просто реализуются акты
вандализма. Атаки блокирования сервиса могут быть направлены против маршрутиза-
маршрутизатора периметра, бастионного узла или брандмауэра, как показано на рис. 1.5.
Перегрузка ресурса
Блокирование сервиса в результате перегрузки ресурса является попыткой создания та-
такой нагрузки на выбранные для атаки узлы и сетевое оборудование, в результате чего они
становятся недоступными для легальных пользователей или перестают работать вообще. К
примерам попыток перегрузки ресурсов относятся выход за рамки допустимых параметров
интерфейса, переполнение внутренней оперативной памяти (буфера), достижение предела
возможностей процессора или переполнение дискового пространства.
В табл. 1.5 для соответствующих типов атак указан список средств, используемых
для их проведения, и описаны некоторые контрмеры, применяемые для противодей-
противодействия таким атакам.
Выход за рамки ограничений для данных
Атаки выхода за рамки ограничений для данных являются контекстно-зависимыми
в том смысле, что они основаны на манипуляции данными заголовка IP (TCP или
UDP) с целью нарушения нормальной работы протокола IP. В результате соответст-
соответствующий узел или сетевое оборудование отказываются работать.
Глава 1. Угрозы безопасности сети 51

В табл. 1.6 представлен список средств, используемых для проведения таких
типов атак, и описаны некоторые контрмеры, применяемые для противодействия
таким атакам.
Удаленное
подразделение
"Грязная"
ДМЗ
Нарушитель, ведущий
атаки блокирования
сервиса в сети
Защищенная
ДМЗ
Бастионный
узел
Рис. 1.5. Точки проведения атак блокирования сервиса
[Таблиц^ 1.5. i
1ерефузки ресурсов -С
Тип атаки
Средства атаки Описание
Контрмеры
Лавина ping pingflood.c, pingflood.c посылает атакуемому узлу
smurf. с, большое число запросов ICMP Echo Re-
f raggle. с, quest (запрос отклика ICMP).
papasmurf. с smurf посылает большое число запросов
ICMP Echo Request no широковещатель-
широковещательному адресу, указывая в качестве адреса
отправителя адрес "узла-жертвы". Когда
пакет с запросом отклика достигает сети
назначения, все узлы сети посылают паке-
пакеты ICMP Echo Reply (ответ на запрос от-
отклика ICMP) no фальсифицированному
адресу. При этом каждый запрос порож-
порождает множество ответов. Генерируемый
поток сообщений в адрес соответствую-
соответствующего узла создает перегрузку вычисли-
вычислительных ресурсов и может вызвать пре-
прекращение работы всей системы, f raggle
является версией smurf, использующей
протокол UDP
Запрет генерирования
ответов на пакеты ICMP
Echo Request в маршру-
маршрутизаторах периметра.
Отключение возможно-
возможностей широковещания во
всех внутренних и внеш-
внешних маршрутизаторах.
Запрет обработки посту-
поступающих пакетов ICMP
Echo Reply в маршрутиза-
маршрутизаторах периметра
52
Часть I. Выбор политики защиты

Окончание табл. 1.5
Тип атаки
Средства атаки Описание
Контрмеры
Лавина SYN
(синхронная
атака или атака
полуоткрытых
соединений)
neptune.c,
synk4.с
Пакетный
шторм
chargen,
Pepsi5.c,
"бомба" UDP
Инициализация большого числа ТСР-
соединений с некоторым портом без завер-
завершения процесса инициализации, в результа-
результате чего легальные пользователи не имеют
возможности открыть новое соединение.
chargen работает с портом 19, генерируя
бесконечный поток ASCII-символов про-
проверки. Поток пакетов UDP с фальсифици-
фальсифицированным IP-адресом источника посыла-
посылается по широковещательному адресу под-
подсети с портом назначения 19.
Соответствующий узел подсети отвечает
на все широковещательные сообщения, в
результате чего возникает лавина пакетов
UDP в бесконечном цикле, что приводит к
отказу в обслуживании. Эта атака имеет
множество вариантов.
PepsiS.c "заваливает" цель пакетами
UDP, содержащими случайные адреса .уз-
.узлов источника.
"Бомба" UDP формирует пакеты с некор-
некорректным значением поля длины в заголов-
заголовке пакета, что в некоторых узлах вызывает
"панику" ядра (т.е. регистрируемую ядром
системы внутреннюю ошибку, которую
система считает достаточно серьезной
для того, чтобы об этом заявить и прекра-
прекратить работу)
Использование средств
TCP-перехвата, предла-
предлагаемых программным
обеспечением Cisco IOS.
Использование системы
защиты от атак SYN, пред-
предлагаемой брандмауэром
CiscoSecure PIX Firewall.
Использование системы
обнаружения вторжений
Отключение chargen и
службы отклика на всех
машинах.
Использование системы
защиты от атак SYN, пред-
предлагаемой брандмауэром
CiscoSecure PIX Firewall.
Установка обновлений
операционной системы
1|6. Атаки вь1хода за рам1сй ограничений для даннь1Х . •
Тип атаки Средства атаки Описание Контрмеры
Пакеты боль- simping.c Создание IP-заголовка, в котором в поле
ших размеров длины указано значение, превышающее
реальную длину данных, или отправка со-
сообщения, превышающего максимально до-
допустимый размер F5535 байт), что приво-
приводит к краху принимающей системы
Фильтрация большого
(по объему) или фраг-
ментированного трафика
ICMP. Соответствующие
атаки обнаруживаются с
помощью системных
средств обнаружения
вторжений Cisco
Глава 1. Угрозы безопасности сети
53

Окончание табл. 1.6
Тип атаки
Средства атаки Описание
Контрмеры
Пакеты
с перекрытием
winnuke.с
Фрагментация teardrop, с
Имитация
IP-адреса
источника
land.с
Отправка данных (выходящих за рамки ог-
ограничений) по установленному соединению
с хостом, управляемым Windows 95 или
Windows NT (как правило, по интерфейсу
NetBIOS, порт 137), что вызывает переза-
перезагрузку или прекращение работы узла
Использование того факта, что в некоторых
реализациях TCP/IP при восстановлении со-
сообщения из фрагментов неправильная обра-
обработка перекрывающихся фрагментов IP вызы-
вызывает переполнение буфера памяти
Попытка заставить компьютер создать
TCP-соединение с собой, что должно при-
привести к зацикливанию и перезагрузке
Некорректные
заголовки
пакетов
"Бомба" UDP
Создание пакетов UDP с некорректными зна-
значениями поля длины в заголовке пакета, что в
некоторых узлах вызывает панику ядра
Отключение NetBIOS,
если это возможно.
Установка обновлений
операционной системы
(сервисных пакетов) в
соответствии с реко-
рекомендациями CERT
Запрет обработки входя-
входящих фрагментированных
пакетов IP в маршрутиза-
маршрутизаторе периметра.
Установка обновлений
операционной системы
в соответствии с реко-
рекомендациями CERT
Фильтрация пакетов с
фальсифицированными
IP-адресами в устройст-
устройствах периметра и хостах.
Установка обновлений
операционной системы
в соответствии с реко-
рекомендациями CERT
Установка обновлений
операционной системы
в соответствии с реко-
рекомендациями CERT
Другие атаки блокирования сервиса
К сожалению, в IP-сетях для атак блокирования сервиса имеется немало других воз-
возможностей. В частности, при атаке можно использовать уязвимость сервисов и аппаратных
средств, не обязательно связанных с TCP/IP. В конечном счете легальные пользователи
все равно лишаются возможности доступа к соответствующему сервису ввиду нехватки
ресурсов системы. Вот еще несколько примеров угрозы блокирования сервиса.
• Распределенное блокирование сервиса. Означает использование множества сис-
систем для координированных атак против Web-узла или хоста. Более подробная
информация содержится в документе Strategies to Protect Against Distributed Denial
of Service (DDoS) Attacks (Стратегии защиты от атак распределенного блокирова-
блокирования сервиса), доступном по адресу: www.cisco.com/warp/public/707/newsflash.html.
• Почтовые бомбы. Многие бесплатные программы осуществляют массовую рас-
рассылку электронной почты индивидуальным лицам, спискам и доменам, по су-
сути, захватывая службу электронной почты в монопольное пользование.
• Захват процессора. Вирус или программы типа "троянского коня", которые при-
приводят либо к зацикливанию в работе процессора или памяти, либо к захвату дру-
54
Часть I. Выбор политики защиты

гих ресурсов компьютера, в результате чего легальные пользователи тоже не смо-
смогут получить доступ к ресурсам.
• Вредоносные аплеты. Программы Java, JavaScript или ActiveX, которые могут ра-
работать, как "троянские кони" или вирусы, выполняя деструктивные функции
или связывая компьютерные ресурсы.
• Перенаправление трафика. Блокирование трафика путем изменения параметров
маршрутизаторов и направления потока данных по неверному маршруту.
• Случайные блокирования сервиса. Легальные пользователи и администраторы
системы могут вызвать блокирование сервиса случайно, в результате выбора
неправильной конфигурации или неправильного использования ресурсов.
• Переполнение буфера. Информационный сервер Internet (IIS) версии 4.0 фирмы
Microsoft весьма чувствителен к ошибкам переполнения буфера, которые при-
приводят к отказу в работе этого сервера. Такие проблемы могут быть решены с
помощью установки обновлений или сервисных пакетов.
• Действия CGI (Common Gateway Interface — общий шлюзовой интерфейс). Неко-
Некоторые Web-броузеры разглашают важную информацию, если в конце адреса URL,
ссылающегося на включаемый файл серверной стороны, будут обнаружены опре-
определенные символы. При этом нарушитель, использующий удаленный доступ, по-
получает возможность восстановить исходный текст этого файла и раскрыть част-
частную информацию, защищенный авторским правом исходный текст, а иногда
имена пользователей и пароли, используемые для входа в базы данных.
• Серверные блокирования сервиса. Microsoft NT Server версии 4.0 (с установлен-
установленным Service Pack 3 или Service Pack 4) перезагружается или "зависает" (в зави-
зависимости от объема памяти, имеющейся в распоряжении сервера), если в ходе
сеанса Telnet определенный порт получит достаточно длинную строку симво-
символов, завершающуюся командой выполнения.
Методы противодействия атакам блокирования сервиса
Программное обеспечение CiscoSecure Integrated Software в маршрутизаторах Cisco
и брандмауэрах PIX Firewall использует мощную технологию, которая обеспечивает
представленные ниже возможности защиты от атак блокирования сервиса и сводит к
минимуму их отрицательные последствия.
• Средства СВАС (Context-Based Access Control — управление доступом на основе
контекста) используются для выявления признаков атак блокирования сервиса
и защиты от них (например, для защиты от атак SYN).
• Запрет использования Java в брандмауэре PIX Firewall позволяет фильтровать
аплеты Java.
• Средства TCP-перехвата, предлагаемые программным обеспечением Cisco IOS
Software, помогают обнаружить и контролировать атаки SYN.
• Правильный выбор версии Cisco IOS является гарантией решения известных
проблем защиты.
С помощью следующих средств можно уменьшить ущерб, наносимый системе ата-
атаками блокирования сервиса.
Глава 1. Угрозы безопасности сети 55

• Средства аудита; записывается подробная информация о транзакциях, включая
метки времени, адреса источника и назначения, номера портов, длительность
связи и объем переданных данных.
• Система извещений; в реальном масштабе времени сообщается о выявлении при-
признаков атак блокирования сервиса и других заданных конфигурацией событиях.
Подтасовка данных
Нарушитель может захватить пересылаемые по коммуникационному каналу данные,
изменить их и воспроизвести повторно. Подтасовка данных именуется также имитацией,
что подразумевает фальсификацию IP-адреса, повторное воспроизведение сообщений с
целью захвата сеанса связи, изменение параметров маршрутизации и содержимого переда-
передаваемых сообщений. К подтасовке данных относят и граффити — своего рода вандализм в
отношении Web-узла, заключающийся в изменении содержимого Web-страниц. Атаки
подтасовки данных оказываются возможными вследствие уязвимости протокола IP, соот-
соответствующих сервисов и приложений. Атаки подтасовки данных называют также атаками
посредника, поскольку обычно они предполагают внедрение в линию связи между двумя
узлами, использующее уязвимость сеанса TCP/IP.
Возможности реализации атак подтасовки данных показаны на рис. 1.6.
Бастионный
узел
Нарушитель,
перехватывающий и
изменяющий данные
сеанса связи
Рис. 1.6. Реализация атаки подтасовки данных
Фальсификация IP-адресов
Нарушитель может фальсифицировать IP-адрес с целью имитации узла, которому
разрешен доступ к приложениям и сервисам, выполняющим аутентификацию запро-
запросов на основе проверки адресов. С помощью фальсификации IP-адреса внешний на-
нарушитель пытается представиться заслуживающим доверия узлом, находящимся внут-
внутри или вне сети. Для фальсификации выбирается IP-адрес из диапазона IP-адресов,
используемых внутри сети, или же авторизованный внешний IP-адрес, которому вы
доверяете и которому разрешается доступ к определенным ресурсам вашей сети.
56
Часть I. Выбор политики защиты

Фальсификация адреса обычно предполагает манипуляцию данными пакетов
TCP/IP, в результате чего нарушитель получает возможность выступать от имени
другого узла. Например, нарушитель может фальсифицировать IP-адрес и представить
себя в качестве легального пользователя, чтобы получить привилегии доступа более
высокого уровня. Фальсификация адреса называется также маскировкой.
При попытке обойти механизм аутентификации, основанный на проверке адресов,
противник может указать для пакета произвольный адрес источника. Наибольший
эффект достигается в случае, когда в качестве адреса источника внешний нарушитель
может указать адрес внутреннего узла, находящегося за маршрутизатором периметра
или брандмауэром.
Обычно при атаках фальсификации IP-адреса нарушитель ограничивается внедре-
внедрением данных и команд в существующий поток обмена между клиентом и сервером
или равноправными сторонами.
Противник, использующий фальсификацию IP-адресов, может обойти механизмы
аутентификации, а при недостаточно квалифицированной их реализации может раз-
разрушить и фильтры на фильтрующих маршрутизаторах.
Контрмерой против атак фальсификации IP-адресов является фильтрация пакетов,
приходящих извне, а объявляющих себя пришедшими из самой сети. Соответствую-
Соответствующие фильтры устанавливаются в маршрутизаторе периметра, но соответствующие ата-
атаки обнаруживаются системой обнаружения вторжений CiscoSecure IDS.
Воспроизведение и захват сеанса связи
Воспроизведение сеанса связи. Нарушитель перехватывает ряд пакетов или команд
приложения, изменяет полученные данные (например, меняет значение суммы в дол-
долларах, указанной в транзакции), а затем воспроизводит пакеты с целью выполнения
несанкционированных действий. При атаке воспроизведения сеанса связи использу-
используется несовершенство средств аутентификации потока данных.
Захват сеанса связи. Нарушитель захватывает управление уже установленным со-
соединением IP, пересылая по нему фальсифицированные пакеты данных IP. Методы
захвата сеанса связи предполагают фальсификацию IP-адресов, манипуляцию адреса-
адресами источника и/или адресата, а также прогнозирование и изменение порядковых но-
номеров пакетов. В этом случае нарушитель использует анализатор протокола или соот-
соответствующую утилиту для наблюдения за пакетами, изменения порядковых номеров и
ретрансляции пакетов TCP/IP.
В одной из документированных записей атаки захвата сеанса связи использовались
средства перенаправления вывода Xterminal на терминал нарушителя, вместо исход-
исходного терминала назначения.
Одним из видов атаки воспроизведения сеанса связи является применение
JavaScript для создания бреши в Hotmail и других системах электронной почты Web.
Такая брешь позволяет хакеру создать сообщение электронной почты с фальсифици-
фальсифицированным адресом и направить его на компьютер другого лица. Пользователь, заинте-
заинтересовавшись "невинной" на вид Web-страницей, в которую хакер вложил наносящий
вред программный код JavaScript, подвергается атаке.
Атаки воспроизведения и захвата сеанса связи могут реализовать только квалифи-
квалифицированные программисты, поэтому документально подтвержденных случаев прове-
проведения таких атак немного. Одним из средств проведения атак захвата сеанса связи яв-
является программа hunt-1.0, выполняемая в системах Linux.
Глава 1. Угрозы безопасности сети 57

Теперь давайте рассмотрим контрмеры, используемые для защиты против указан-
указанных атак.
• Использование настроек Web-броузера, которые запрещают загрузку аплетов
вообще или заставляют запрашивать разрешение на выполнение мобильного
программного кода.
• Блокирование корпоративного доступа к общедоступным узлам электронной
почты, что снижает риск разглашения конфиденциальных данных и заражения
внутренних узлов сети вирусами.
• Применение средств управления доступом в устройствах периметра сети.
• Использование средств аутентификации, таких как CiscoSecure TACACS+,
RADIUS или SSL.
• Применение технологий шифрования для защиты целостности и конфиденци-
конфиденциальности данных.
• Использование таких средств защиты от искажения информации, как цифро-
цифровые подписи, предлагаемые уполномоченными центрами сертификации.
Изменение маршрутизации
Сетевой нарушитель может изменить параметры маршрутизации, получив несанк-
несанкционированный доступ к маршрутизатору и изменив его конфигурацию или фальси-
фальсифицировав идентификационные данные маршрутизаторов и хостов по некоторому
маршруту. Изменение маршрутизации может позволить удаленному узлу выступать в
качестве локального узла сети. В результате могут быть скомпрометированы сервисы,
средства аутентификации которых опираются на проверку IP-адресов.
Контрмеры против атак изменения параметров маршрутизации включают ограни-
ограничение доступа к маршрутизаторам, фильтрацию пакетов, маршруты которых задаются
источниками, использование средств аутентификации маршрутов, предлагаемых про-
программным обеспечением Cisco IOS Software, и отключение возможности маршрутиза-
маршрутизации от источника (во всех узлах). Соответствующие атаки выявляются системой обна-
обнаружения вторжений CiscoSecure IDS.
Отречение
Если стороны, участвующие в обмене финансовыми данными, смогут в дальней-
дальнейшем отрицать свою причастность к конкретной транзакции, риск электронных сделок
и соглашений будет слишком высок, а третья сторона (арбитр) не сможет доказать,
что связь между двумя другими сторонами имела место. С точки зрения права на тай-
тайну переписки такая ситуация была бы желательной, если вы не хотите, чтобы ваши
связи можно было отследить. Невозможность отречения, наоборот, позволяет третьей
стороне доказать, что связь между двумя другими сторонами устанавливалась. При
этом у обеих сторон имеется возможность отслеживать свои связи и при необходимо-
необходимости доказать, что они действительно имели место.
Возможность защиты
Как могут компании эффективно защитить свои сети от атак нарушителей защи-
защиты? Решения, соответствующие любому необходимому уровню безопасности, предла-
предлагаются Cisco и другими производителями.
58 Часть I. Выбор политики защиты

Правильно выбранное решение проблемы защиты уменьшит уязвимость сети и
тем самым сэкономит средства компании. Правильное решение должно также
минимизировать общие расходы компании на внедрение и эксплуатацию средств
сетевой защиты.
Кроме того, правильное решение проблемы защиты может обеспечить воз-
возможность использования приложений электронной коммерции и межсетевых
приложений, которые обеспечивали более тесные связи с поставщиками и парт-
партнерами, но ранее считались потенциально опасными из-за недостаточной надеж-
надежности защиты.
Защита должна быть главным элементом организации сети. Хорошее решение
проблемы защиты дает вам следующее:
• сокращает издержки внедрения и эксплуатации средств сетевой защиты;
• открывает возможность использования новых сетевых приложений и услуг;
• превращает Internet в недорогое средство глобальных коммуникаций.
Резюме
В этой главе обосновывается необходимость защиты сети. Данный раздел содержит
краткое описание рассмотренных главе вопросов.
• Разнообразие и распространенность угроз усложняет проблему защиты и делает
практически невозможной выработку единообразных рекомендаций по реали-
реализации интегрированной сетевой защиты.
• Существует три главные причины возникновения проблем защиты: недостатки
технологии, конфигурации и политики.
• Нарушители сетевой зашиты имеют ряд побуждающих мотивов для попыток
преодоления защиты сетей; для этого в их арсенале имеются самые разнообраз-
разнообразные средства.
• Спектр средств сетевого нарушителя включает анализаторы протоколов и ска-
сканеры сети, а также специальные средства, разрабатываемые нарушителями для
проведения конкретных типов атак.
• Разведка является попыткой получения дополнительной информации о сети и
сетевом оборудовании с целью проведения последующих атак.
• Несанкционированный доступ представляет собой попытку нарушителя по-
получить доступ к сетевым ресурсам без разрешения. К таким попыткам отно-
относят получение первичного доступа, привилегированного доступа и повтор-
повторного доступа.
• Блокирование сервиса подобно вандализму; цель нарушителя — создание помех
в получении сетевых услуг и доступа к ним для законных пользователей.
• Подтасовка данных является попыткой перехвата и изменения потока дан-
данных между узлами, использующими TCP/IP.
• Для каждого вида сетевого вторжения имеются свои контрмеры, которые
позволят не допустить проведения соответствующих атак или, по крайней
мере, свести к минимуму их отрицательные последствия.
Глава 1. Угрозы безопасности сети 59

• Эффективные решения проблемы защиты, реализованные администраторами
систем и сетевыми инженерами, позволяют снизить затраты на обеспечение
требуемого уровня безопасности, использовать новые сетевые приложения и
услуги, а также обеспечить организации конкурентное преимущество.
Контрольные вопросы
Ответьте на следующие вопросы, чтобы проверить свои знания в области оценки
угроз сетевой безопасности.
1. В чем проблема безопасности сетей, стоящая перед бизнесом сегодня?
2. Перечислите пять главных факторов возрастания важности защиты сетей.
3. Каковы три главные причины возникновения проблем защиты сетей?
4. Какие недостатки может иметь политика защиты?
5. Кто обычно выступает в роли внутренних нарушителей защиты сети?
6. Как проводятся атаки разведки с помощью сетевого анализатора пакетов?
7. Опишите стадии несанкционированного доступа.
8. Почему так распространены атаки блокирования сервиса?
9. Какой тип атак подтасовки данных является наиболее распространенным?
10. Какую пользу могут принести организации сетевые инженеры и системные админи-
администраторы, имеющие соответствующую подготовку в области сетевой защиты?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения на практике соответствующих средств требуется более
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Защита сетей и бизнес
Bernstein Т., Bismani A., Schultz E. and Siegel С. Internet Security for Business.
Wiley Computer Publishing, 1996. Обсуждаются вопросы планирования и реализа-
реализации сетевой защиты.
Chapman D., Cooper S. and Zwicky E. Building Internet Firewalls. Second Edition,
O'Reilly and Associates Publishing, 2000. Рассматриваются вопросы построения бранд-
брандмауэров и описываются точки уязвимости сетевой защиты.
Хакеры и их средства
Anonymous. Maximum Security: A Hacker's Guide to Protecting Your Internet Site and
Network. Second Edition, Sams.net Publishing, 1998. Описываются хакерские возможно-
возможности с точки зрения хакера.
AntiOnline. Всеобъемлющий, посвященный средствам безопасности узел, на кото-
котором имеются хакерские средства (www.antionline.com).
60 Часть I. Выбор политики защиты

McCIure S., Scambray J., et al. Hacking Exposed: Network Security Secrets and Solu-
Solutions. McGraw-Hill, 1999. Описываются методы хакеров и меры противодействия им.
Root Shell. Узел, содержащий информацию о проблемах защиты и предлагаю-
предлагающий хакерские средства (www.rootshell.com).
Shimomura Т. and Markoff J. Takedown: The Pursuit and Capture of Kevin Mitnick,
America's Most Wanted Computer Outlaw — By the Man Who Did It. Hyperion Books,
1996. Описывается драма хакера из реальной жизни.
Ежеквартальный хакерский журнал, содержащий описания хакерских приемов
и проблем защиты (www.2600.com).
LOpht. "The top US hackers hang out at the LOpht. But why can't they spelH" журнал
spews.net, декабрь 1995 г., доступен по адресу: www.lOpht.com.
Web-узлы, посвященные вопросам безопасности
Координационный центр группы компьютерной "скорой помощи" (CERT) пред-
предлагает ответы на вопросы об инцидентах, уязвимости и возможностях обучения; дос-
доступен по адресу: www.cert.org.
Microsoft Security. Официальная, посвященная вопросам безопасности страница
Microsoft (www.microsoft.com/security/default.asp).
NT Bugtraq. Список почтовой рассылки по вопросам проблем защиты Windows NT
и соответствующих контрмер; доступен по адресу: www.ntbugtraq.com.
SANS Institute (System Administration, Networking, and security Institute — Институт
системной администрации, сетей и сетевой защиты). Организация, которая проводит
совместные исследования и обучает персонал. Соответствующий почтовый список
доступен по адресу: www.sans.org.
SecurityFocus.com. Web-узел, предназначенный для обсуждения связанных с безо-
безопасностью тем, формирования компетентного представления о проблемах защиты и
поддержки широкодоступной и всеобъемлющей (самой большой в Internet) базы дан-
данных, охватывающей широкий спектр касающихся безопасности знаний и соответст-
соответствующих ресурсов. Поддерживает также популярный список рассылки Bugtraq. Этот
узел имеет адрес: www.securityfocus.com.
Консультативная служба компьютерных сбоев (CIAC) Министерства энергетики
США. Обеспечивает бесплатный сервис компьютерной защиты для служащих и под-
подрядчиков Министерства энергетики; доступна по адресу: ciac.llnl.gov.
Обзоры и отчеты, посвященные вопросам
безопасности
1996. Information Systems Security Survey. Краткое изложение отчета WarRoom Research
LLC, доступное по адресу: www.warroomresearch.com/researchcollabor/infosecuritysurvey.htm.
1998. Annual Global Information Security Survey, Ernst & Young and Computerworld,
доступен по адресу: www.ey.com/aabs/isaas.
Описания сетевых вторжений
Cheswick В. An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied.
Хроника атак взломщика в записи Б. Чезвика из AT&T. Может быть найдена на Web-
узле COAST Университета Пэдью (www.cs.purdue.edu/coast/archive/data/categ40.html).
Глава 1. Угрозы безопасности сети 61

Farmer D. and Venema W. Improving the Security of Your Site by Breaking Into It. В
этой статье вопросы безопасности рассмотрены с точки зрения потенциального
нарушителя и показано, что даже безобидные на первый взгляд сетевые сервисы
могут стать ценным средством поиска слабых мест системы. Статью можно найти
на Web-узле Advanced Laboratory Workstation System (www.alw.nih.gov/Security/Docs/
admin-guide-to-cracking.IOI.html).
62 Часть I. Выбор политики защиты

^^^
Изучив материал этой йгавы, вы сможете выполнить следующие задачи.
• Сформулировать Цели политики сетевой защиты^ "Щф№ъ>
• Определить составляющие ^политики сетевой защиты.
• Наметить^гуга реализаций политики сетевой защиты.
• Оценить политику защиты сети компании XYZ. *5' " ';
щ
4
г*
4
, ' . «V Г*

Глава
2
Оценка политики защиты
%!' *В этой главе описывается процесс оценки политики защиты сети корпоративного
'Предприятия. Рассматриваются экономические вопросы защиты сети и подчеркивает-
подчеркивается, что оптимальная защита должна предполагать равновесие между требуемым уров-
уровнем защиты и удобством работы пользователя. Здесь же приведены основные характе-
характеристики ключевых компонентов политики сетевой защиты.
д В главе описывается исследование проблем защиты сетей, проведенное компанией
, Cisco. В ходе исследования был выполнен анализ приоритетов планирования систем
; сетевой защиты к применения соответствующих средств достаточно большого числа
. компаний. В результате все изученные компании были разделены на три группы: с
открытой, ограничивающей и закрытой политикой защиты.
%'. Глава ссылается на приложение Б, "Пример политики защиты сети компании
-;.-XYZ", и включает контрольные вопросы, призванные помочь проанализировать пред-
предлагаемый пример политики защиты. Завершается глава обсуждением необходимости
^тестирования системы защиты сети с помощью средств аудита.
Важность защиты сети
При анализе политики зашиты сети и средств реализации ее директив, необходимо
выяснить стоимость ее реализации и поддержки, а затем сравнить планируемые рас-
расходы с потенциальными преимуществами, получаемыми в результате внедрения такой
j, политики. Нужно оценить объем ресурсов, как человеческих, так и денежных, необ-
необходимых для реализации политики защиты, и сравнить их с риском нарушения сис-
системы защиты, как схематически показано на рис. 2.1. Инвестиции в дело защиты сети
должны быть оправданы в сравнении с потенциальными экономическими потерями
из-за возможных брешей в системе защиты.
Вот некоторые рекомендации, которые могут оказаться полезными для оценки
стоимости и преимуществ политики сетевой защиты.
• Определите стоимость каждого элемента системы управления защитой сети и
. затраты на его обслуживание. Жизненный цикл большинства компьютерных
аппаратных компонентов составляет от трех до пяти лет.
К '/ • Оценитеэкономию от снижения потерь в результате внедрения соответствующих
f средств управления защитой.
''¦¦, '*< • Оцените максимум возможных потерь в случае отказа от средств управления
й защитой.

Потери от
нарушений
защиты
Затраты на
систему
защиты
Степень защиты ¦
Рис. 2.1. Сравнение потерь от нарушений защиты с затратами на по-
построение и содержание системы защиты
• Определите объем сэкономленных средств за все время использования средств
управления защитой.
• Определите выгоду от применения средств управления зашитой.
• Выясните, какие средства управления защитой оказываются для вас наиболее
выгодными и экономичными.
Процесс оценки состояния защиты
Специалисты Cisco разработали цикл защиты (соответствующая диаграмма показа-
показана на рис. 2.2), чтобы формализовать процесс внедрения и использования средств за-
защиты сети. Процесс, изображаемый диаграммой, называется оценкой состояния за-
защиты. Он представляет собой постоянные циклично повторяющиеся мероприятия
компании, направленные на защиту ее жизненно важных активов при наименьших
затратах, позволяющих снизить риск потерь до приемлемого уровня.
Защита
Совершенствование
Мониторинг
Тестирование
Рис. 2.2. Цикл защиты, иллюстрирующий процесс, который
должен поддерживаться предприятием в рамках реа-
реализации системы защиты
66
Часть I. Выбор политики защиты

Ввиду сложной итерационной природы задачи обеспечения безопасности предпри-
предприятия, чтобы предприятие оставалось защищенным от самых новых угроз, процесс не
должен останавливаться никогда. Указанный цикл включает следующие четыре фазы.
• Защита. Необходимая защита корпоративных данных. На этой стадии органи-
организации обычно начинают применение технологий защиты (например, брандмау-
брандмауэров и систем аутентификации), повышающих степень защиты сети.
• Мониторинг. Наблюдение за активностью (как внешней, так и внутренней) в
критических точках доступа к сети. Кроме того, следует постоянно проводить
мониторинг сетей на предмет выявления вторжений и фактов недопустимого
использования, а также иметь механизмы автоматизированного подавления не-
несанкционированной активности, работающие в реальном масштабе времени.
• Тестирование. Проверка того, что меры защиты являются достаточными для ус-
успешного противостояния различным хакерским атакам. Кроме того, поскольку
сети динамично развиваются и часто меняют свою конфигурацию, необходимо
постоянно проверять состояние системы защиты и давать соответствующую
оценку ее уязвимости.
• Совершенствование. Внедрение новых и обновление имеющихся средств защи-
защиты. Необходимо централизованное управление всеми средствами и политиками
защиты с целью достижения максимума эффективности и быстрого внедрения
усовершенствований.
Процесс оценки состояния защиты определяет направление развития системы за-
защиты всего предприятия. При этом определяются связанные с безопасностью роли и
ответственность служащих звена управления корпорации и подразделения информа-
информационных технологий, корпоративные данные разделяются по уровням секретности и
определяются допустимые риски для каждого из этих уровней. В центре цикла защи-
защиты находится наиболее важный элемент — политика сетевой защиты. Политика сете-
сетевой защиты содержит инструкции, устанавливающие необходимый уровень защиты
предприятия, и должна определять следующие элементы.
• Важные для предприятия активы, которые следует защищать.
• Ресурсы (денежные, человеческие и временные), которые предприятие готово
потратить на защиту того, что оно считает важным.
• Уровень риска, с которым предприятие готово смириться.
Ключом к успеху при построении системы защиты сети является баланс между
простотой использования средств защиты и степенью защиты, обеспечиваемой этими
средствами (рис. 2.3). Если затраты на защиту несоразмерны действительной опасно-
опасности, это нанесет вред интересам компании. А если меры предосторожности будут
сильно ограничивать пользователей, они могут найти пути их обхода, что сведет на
нет пользу от введения соответствующих мер.
В следующих разделах фазы процесса оценки состояния защиты будут рассмотре-
рассмотрены подробнее.
Оценка политики сетевой защиты
Наиболее важной частью системы управления безопасностью сети является точная
реализация политики защиты сети. Необходимо сначала выполнить анализ политики
защиты, а затем реализовать ее. Но что же представляет собой сама политика защиты
и из каких элементов она должна состоять?
Глава 2. Оценка политики защиты 67

Прозрачность
доступа
пользователей
Максимальная
защита
Рис. 2.3. Баланс между прозрачностью доступа
пользователей и максимальной защитой
Как указано в справочнике по защите узлов (Site Security Handbook, RFC 2196),
"политика защиты состоит из формального набора правил, в соответствии с которыми
должны действовать люди, получающие доступ к технологическим и информацион-
информационным активам организации. ... по существу, политика защиты является документом,
обобщающим практику использования и защиты компьютерных и сетевых ресурсов
данной корпорации".
Обоснование необходимости разработки политики защиты
Политика защиты имеет немаловажное значение и стоит тех усилий, которые тре-
требуются на ее разработку. Политика сетевой защиты является планом защиты сети, по-
поэтому она должна быть четкой и завершенной. Вот некоторые аргументы в пользу не-
необходимости разработки политики защиты.
• Политика защиты является основой процесса проверки надежности сущест-
существующей системы сетевой защиты.
• Она обеспечивает каркас системы защиты, в рамках которого строится безопас-
безопасность сети.
• Определяет допустимые и недопустимые типы поведения.
• Помогает определить, какие средства и методы защиты требуются организации.
• Помогает достичь консенсуса группе лиц, принимающих ключевые решения, и
определяет ответственность пользователей и администраторов.
• Определяет процедуру обработки инцидентов защиты.
• Позволяет осуществить глобальный подход к вопросам безопасности: компью-
компьютерная безопасность теперь является вопросом уровня предприятия, и все ком-
компьютерные системы должны соответствовать политике сетевой защиты.
• Создает основу для применения санкций в случае необходимости.
Что должна включать политика защиты
Каждое предприятие должно разработать свою политику сетевой защиты, приспо-
приспособленную к сетевой среде предприятия и имеющимся в ней приложениям. Вот неко-
некоторые из рекомендуемых ключевых разделов политики защиты.
68
Часть I. Выбор политики защиты

• Распределение полномочий и сфер действий. В этом разделе указывается, кто ор-
организует политику защиты и какие области должна охватывать эта политика.
• Политика приемлемого использования. В этом разделе указывается, что позволено (и
не позволено) делать в рамках информационной инфраструктуры компании.
• Политика идентификации и аутентификации. Здесь указываются технологии и
оборудование, используемые компанией для обеспечения доступа к данным
только тем пользователям, которые имеют на это право.
• Политика доступа к Internet. В этом разделе указывается, что компания считает
нравственным и правильным при использовании возможностей доступа к Internet.
• Политика внутреннего доступа. В этом разделе указывается, как внутренние
пользователи должны использовать инфраструктуру данных компании.
• Политика удаленного доступа. В этом разделе указывается, как пользователи,
осуществляющие удаленный доступ к сети, могут использовать инфраструктуру
данных компании.
• Процедура обработки инцидентов. В этом разделе указывается, какой должна
быть структура группы реагирования на инциденты и какие процедуры будут
использоваться во время и после таких инцидентов.
Политика защиты сети компании XYZ
В приложении Б предлагается пример политики защиты сети компании XYZ.
Главные разделы всеобъемлющей политики защиты приведены в следующем описа-
описании, которое является частью первого раздела политики защиты сети компании XYZ
(полный текст примера политики защиты содержится в приложении Б).
Распределение полномочий и сфер действия
Каждый служащий, как зарегистрированный пользователь внутренней сети XYZ, име-
имеет свои права доступа к информации. Чтобы способствовать обеспечению сетевой
безопасности и целостности информации, каждый пользователь должен подчиняться
требованиям политики защиты. Компания XYZ следует принципу "необходимого зна-
знания", сознательно избегая предоставления служащему информации, которая не тре-
требуется для выполнения его работы.
Для кого предназначена политика
Политика разработана для следующих категорий служащих:
• пользователи сети, которые должны действовать в соответствии с политикой защиты;
• персонал службы поддержки систем, который реализует требования политики за-
защиты и осуществляет ее поддержку;
• менеджеры, в сфере компетенции которых находится защита данных и связанные
с ней расходы;
• управление компании, желающее обеспечить целостность сети наряду с простотой ее
использования и минимальными расходами на ее содержание.
Глава 2. Оценка политики защиты 69

Использование политики защиты сети
Компания использует политику защиты, чтобы определить, что является жизненно
важным в вопросе защиты сети, и распределить ответственность за осуществление ди-
директив, указываемых политикой. Вот некоторые варианты использования политики
сетевой защиты.
• Идентификация активов и угроз. Руководство компании может использовать по-
политику сетевой защиты для того, чтобы четко определить свои сетевые активы
и оценить существующие угрозы для корпоративных данных.
• Планирование реализации политики. Компания может использовать политику се-
сетевой защиты для того, чтобы описать задачи подразделения управления ин-
информационной системой по реализации требований политики защиты.
• Обучение пользователей. С помощью политики сетевой защиты компания ин-
информирует пользователей об их обязанностях по защите информационных ак-
активов компании.
Защита сети
Следующим шагом в использовании политики защиты сети является выбор, уста-
установка и настройка соответствующих средств сетевой защиты. Например, если сеть имеет
выход в Internet (сегодня это вполне привычно), то потребуется создать систему защиты
периметра, позволяющую защитить данную точку уязвимости сети. Точно так же сеть с
возможностью удаленного доступа нуждается в средствах управления доступом, а базо-
базовая или магистральная сеть — в средствах зашиты и доступа, и периметра. В книге ана-
анализируется политика защиты сети компании XYZ и рассматриваются варианты на-
настройки средств управления защитой в соответствии с требованиями этой политики.
Мониторинг системы защиты сети
Политика защиты сети должна описывать технологию и процедуры, используемые
для мониторинга состояния системы зашиты. С помощью мониторинга обнаруживаются
угрозы защиты сети. Контроль активности в сети может выявить попытки скомпроме-
скомпрометировать систему и помогает выполнить анализ атак, которым может подвергаться сис-
система. Мониторинг обеспечивает соответствие политике зашиты. Мониторинг состояния
сетевой защиты может включать анализ сообщений системных журналов маршрутизато-
маршрутизаторов периметра, брандмауэров и системы управления доступом.
Мониторинг может выполняться системами обнаружения вторжений. Такие системы
призваны автоматизировать выявление сетевых вторжений. CiscoSecure IDS является сис-
системой обнаружения вторжений, работающей в реальном масштабе времени, причем дан-
данная система прозрачна для потока легальных данных и допустимых действий в сети.
CiscoSecure IDS состоит из двух компонентов: сенсоров и управляющих устройств. Сенсо-
Сенсоры CiscoSecure IDS, представляющие собой скоростные сетевые устройства, анализируют
содержимое отдельных пакетов на предмет наличия в сетевом трафике признаков угрозы
или вторжения. Если поведение потока данных вызывает подозрение, сенсоры CiscoSecure
IDS в реальном масштабе времени регистрируют нарушение политики и передают сигна-
сигналы тревоги управляющей консоли CiscoSecure IDS, чтобы вовремя отключить нарушителя
от сети и не допустить дальнейшего развития атаки. Управляющее устройство CiscoSecure
IDS представляет собой высокопроизводительную программную систему управления, осу-
осуществляющую централизованное управление множеством сенсоров CiscoSecure IDS, раз-
размещенных в локальных или удаленных сегментах сети.
70 Часть I. Выбор политики защиты

Тестирование состояния защиты с помощью
средств аудита
Политика защиты сети должна определять процедуры, используемые для аудита,
тестирования и поддержки системы защиты сети. Аудит и тестирование могут помочь
при выяснении общего технического состояния сетевых компонентов и всей компью-
компьютерной системы в целом. Они могут использоваться и для проверки функционального
соответствия системы требованиям политики защиты.
Использование средств аудита и тестирования является лучшим способом провер-
проверки эффективности имеющейся инфраструктуры системы защиты. Аудит системы за-
защиты должен выполняться регулярно через определенные промежутки времени и дос-
достаточно часто. В список задач аудита должно включаться следующее.
• Проверка каждой повой системы, устанавливаемой в сети.
• Проверка соответствия изменения конфигурации сетевых устройств действующей
политике защиты.
• Регулярные проверки системы, по возможности с помощью некоторого автома-
автоматизированного процесса.
• Внеплановые проверки состояния системы.
• Ежесуточные ночные проверки важнейших файлов (например, /etc/passwd) и
файлов системного журнала.
• Контроль активности пользователей.
Примеры таблиц контрольных проверок систем защиты имеются в Internet, на-
например, в справочнике "NIST Computer Security Handbook", который можно найти по
адресу, указанному в разделе ссылок в конце главы. Вам необходимо разработать таб-
таблицу контрольных проверок, соответствующую особенностям структуры вашего узла.
Процесс аудита можно автоматизировать с помощью сценариев или аудиторских
программ, примеры которых описаны в следующем разделе.
Регулярные проверки системы
На основании регулярных проверок системы создается общая характеристика состоя-
состояния системы защиты. Такие проверки могут моделировать большинство вариантов про-
проникновения нарушителей в систему. Ваши меры предотвращения вторжений могут быть
проверены с помощью средств аудита. Точно так же может быть выявлена и незаконная
активность служащих. Для проверки применяют самые разные методы, причем можно ис-
использовать и некоторые средства, применяемые для сетевых вторжений. Чаще всего для
проверки состояния системы защиты сети используют следующие средства.
• CiscoSecure Scanner. Средство, автоматизирующее процесс проверки состояния сис-
системы защиты сети с помощью построения подробной карты сети и сканирования
точек уязвимости. CiscoSecure Scanner предлагает следующие возможности:
• построение карты сети, обеспечивающей общую характеристику состояния
электронного "хозяйства" сети;
• использование оценок уязвимости защиты, помогающих распознать потен-
потенциальные бреши в системе защиты;
Глава 2. Оценка политики защиты 71

• простое управление рисками на основе доступности данных, характеризую-
характеризующих уязвимость;
• использование отдельной системы на базе Windows NT или Solaris.
• Computer Oracle and Password System (COPS). "Инспектор" системы защиты
UNIX, позволяющий выяснить, является ли конфигурация системы UNIX оп-
оптимальной с точки зрения защищенности от атак удаленного доступа.
• Tiger. Набор сценариев UNIX, разработанных специалистами университета сель-
сельского хозяйства и машиностроения штата Техас (Texas A&M University) для про-
проверки систем UNIX на уязвимость. Включает пакетный фильтр, программу про-
проверки конфигурации и программу аудита/протоколирования. Программа Tiger
Analytical Research Assistant (TARA) является обновлением программы Tiger, рабо-
работающим в системах UNIX и Linux.
• Tripwire. Монитор целостности файловой системы для UNIX, генерирующий
предупреждения при изменении ключевых файлов. ViperDB, Triplight, Advanced
Intrusion Research Assistant (AIDE) и Sentinel являются производными Tripwire.
• Simple WATCHdog (Swatch). Анализатор журналов для систем на базе UNIX,
просматривающий журналы с целью выявления определенных событий.
Условно-бесплатные версии этих программ можно найти на Web-страницах узла
Rootshell по адресу: www.rootshell.com.
Внеплановые проверки системы
Неплохой практикой является выполнение внеплановых (как правило, поверхно-
поверхностных) проверок системы. Они могут использоваться в качестве одного из методов
обнаружения действий нарушителей, а также в качестве теста для выявления опреде-
определенных проблем защиты (например, уязвимости сетевой файловой системы). Внепла-
Внеплановые проверки можно применять для контроля соответствия системы конкретным
требованиям и стандартам политики защиты. Результаты внеплановых проверок
должны доводиться до сведения руководства компании.
Совершенствование состояния
системы защиты
Мониторинг и аудит могут выявить ранее неизвестные слабые места системы за-
защиты. На основании результатов проверок необходимо совершенствовать состояние
системы защиты компании, используя для этого самые последние обновления про-
программных средств, технические рекомендации, новые версии существующего про-
программного обеспечения и новые технологии.
Непрерывный контроль, сопровождение и модификация системы защиты пред-
предприятия обеспечивают безопасность сети. Поскольку средства и методы нарушителей
постоянно меняются и совершенствуются, системе защиты предприятия тоже прихо-
приходится претерпевать изменения, чтобы достойно встречать новые угрозы.
Стратегия управления рисками должна меняться с ростом масштабов бизнеса, ко-
который выходит на новые рынки и покидает те, которые признаны не целесообразны-
целесообразными. При изменении профиля рисков должно меняться и состояние системы защиты.
72 Часть I. Выбор политики защиты

Мысль о том, что защита является одноразовым мероприятием типа "установил и
забыл", не соответствует действительности. Поддержание соответствующего уровня
защиты во всех областях деятельности компании требует непрерывных усилий. Неже-
Нежелание или неумение приложить необходимые усилия в соответствующий момент вре-
времени подвергает предприятие ненужному риску.
Вы должны совершенствовать защиту своих систем, придерживаясь следующих ре-
рекомендаций.
• Следите за информацией о новых типах атак и новых точках уязвимости, по-
постоянно просматривая посвященные защите группы новостей и соответствую-
соответствующие Web-страницы. Посещайте специальные мероприятия производителей сис-
систем защиты и регулярно читайте соответствующие публикации.
• Внесите свой адрес в список рассылки типа Bugtraq на www.securityfocus.com, список
консультативного совета CERT на www.cert.org или список, предлагаемый Web-узлом
www.sans.org. Каждый из этих списков предлагает регулярные публикации о защите
и информацию о появлении "заплат" для соответствующих программ.
• Следите за информацией о новых технологиях защиты сетей и новых методах
защиты существующего оборудования и систем.
• Регулярно просматривайте Web-страницы поставщиков программного обеспе-
обеспечения и оборудования, чтобы вовремя узнавать о появлении "заплат", пакетов
сопровождения и новых версий программ. Проверяйте и устанавливайте обнов-
обновления программного обеспечения защиты, исправляющие замеченные ошибки.
• Обновляйте политику и методы защиты компании, чтобы не отставать от пере-
передовых технологий в этой динамично меняющейся области.
• Организуйте интенсивную подготовку служащих, направленную на разъяснение
важности зашиты и повышение их ответственности; поддерживайте активную
информационную связь с другими заинтересованными группами.
• Выполняйте регулярно (и как можно чаще) анализ профилей атак. Например,
система CiscoSecure IDS содержит базу данных сетевой защиты и список сигна-
сигнатур атак, который регулярно обновляется и применяется в системе обнаруже-
обнаружения вторжений. Эта база данных обеспечивает постоянный доступ к конкрет-
конкретной информации об атаках и соответствующих контрмерах.
• Применяйте новые технологии защиты, позволяющие обеспечить сквозную за-
защиту потока данных между конечными пунктами. Оценивайте преимущества
новых продуктов в лабораторной среде, прежде чем установить их в сети пред-
предприятия. Меняйте конфигурацию сети по мере необходимости, основываясь на
результатах анализа профилей атак.
• Обеспечьте расследование, координацию действий, документальное подтвер-
подтверждение и необходимые напоминания в случаях инцидентов защиты.
Анализ практики защиты сетей
Следующие три примера иллюстрируют различные уровни политики сетевой за-
защиты. Частью процесса разработки политики защиты является принятие решения о
том, какой должна быть политика вашего предприятия — открытой, ограничивающей
или закрытой. По мере движения указателя вдоль шкалы защиты (рис. 2.4) в направ-
Глава 2. Оценка политики защиты 73

лении более надежной защиты предприятия, политика защиты становится все более
ограничивающей. Чтобы сделать предприятие более защищенным, приходится выби-
выбирать более ограничивающую политику защиты, которая, как правило, является и бо-
более дорогой в плане внедрения и поддержки.
Ограничивающая
Открытая Ц ¦ ^^ и Закрытая
Политика защиты
Защита Защита
сети предприятия приложений
Рис. 2.4. Разделение политик защиты сети на от-
открытые, ограничивающие и закрытые
После того как политика защиты определена, можно рассмотреть средства защиты
сети и приложений, в совокупности обеспечивающие необходимый уровень сетевой
защиты предприятия. Скорее всего для достижения полного соответствия требовани-
требованиям выбранной политики защиты понадобится некоторая комбипация средств защиты
сети и средств защиты приложений.
Защита приложений зачастую ассоциируется с электронной торговлей, поскольку чаще
всего требуется гарантировать осуществление операций купли-продажи в Web, при кото-
которых у нарушителя нет возможности определить номер кредитной карточки покупателя.
В этой книге мы сосредоточим обсуждение па той части решений защиты, которая
касается защиты сети предприятия. Ниже будут рассмотрены три примера политики
защиты сети, обеспечивающие различные уровни общей защиты.
Информация, используемая для примеров, была получена независимой компанией
исследования рынка, созданной по инициативе Cisco. Была сформирована регистра-
регистрационная комиссия, призванная определить стоимость имеющихся систем защиты в
различных компаниях. Результирующий отчет содержал информацию о большом чис-
числе компаний, работающих в самых разных областях рынка — от финансовых учреж-
учреждений, осуществляющих поддержку предприятий сферы коммунальных услуг, до
многонациональных корпораций, занимающихся производством потребительских то-
товаров. Некоторые компании использовали для своих сетей оборудование Cisco.
Обследованные компании в совокупности имели около 70000 сетевых компьютеров,
поэтому полученную в результате исследования статистическую базу можно считать дос-
достаточной для определения средней стоимости защиты одного компьютера в сети.
Интересным результатом исследования является то, что диапазон расходов на за-
защиту оказался достаточно большим — от $53 до $368 на одну рабочую станцию.
Средние расходы на защиту каждого сетевого компьютера составляли около $250 в
год. Cisco обнаружила, что в среднем защита забирала 17% общих расходов на под-
поддержку рабочих станций.
Расходы на защиту сетевого компьютера включают:
74 Часть I. Выбор политики защиты

• стоимость соответствующих аппаратных средств и программного обеспечения;
• расходы на обслуживающий персонал (составляли 60% общих расходов на
защиту);
• периодические расходы, связанные с поддержкой необходимого уровня за-
защиты сети.
Оказалось возможным разделить компании на три группы — с открытой, ограничи-
ограничивающей и закрытой защитой. В каждой из этих групп наблюдалось сходство по технологи-
технологиям, используемым для реализации избранной компаниями политики защиты.
Пример 1. Открытая политика защиты
Часть компаний в своих подходах к реализации систем защиты предпочитала ми-
мириться с риском; она предоставляла пользователям большую гибкость и широкую сво-
свободу действий. Эти компании относятся к группе с открытой политикой защиты. Как
показано на рис. 2.5, для открытой политики прозрачность пользовательского доступа
перевешивает требование максимальной защиты.
• Позволяется все,
что явно не
запрещается
• Простота настройки
и администрирования
• Простота в работе
для пользователей
• Стоимость защиты
$70 на каждое
рабочее место
Прозрачность
доступа
пользователей
Максимальная
3.1ЦИТ.З
Рис. 2.5. Открытая политика защиты
Компании этой группы были склонны разрешать все сетевые соединения, которые не
запрещались явно. Такая открытая политика разрешений требует от компании создания
специальных барьеров только для определенной группы соединений, чтобы затем управ-
управлять этими "особо важными соединениями", используя минимум сетевого персонала и,
главным образом, уже имеющееся сетевое оборудование. Такую систему защиты просто
настроить и ею легко управлять, а пользователи не сталкиваются с обременительными ме-
мерами предосторожности, что делает использование сети более простым.
Компании этой группы тратили на защиту в среднем менее $70 на каждое рабочее
место в сети (напомним, что для всех компаний издержки колеблются в диапазоне от
$53 до $368). Но, как правило, это были относительно небольшие компании.
Еще одним интересным результатом исследований является то, что компании этой
группы не испытывали значительных финансовых потерь от взломов сетевой защиты,
а потому у них не было большого желания увеличивать свои расходы в области ин-
информационных технологий.
Руководство компаний было склонно считать, что вероятность оказаться целью ха-
керских атак для них весьма невелика ввиду того, что их частная информация не
Глава 2. Оценка политики защиты
75

представляет интереса для кого-либо вне компании. Но после того, как компания
подвергалась нарушениям защиты сети, что влекло за собой финансовые потери, она
начинала устанавливать дополнительные средства защиты, в результате чего имела бо-
более высокую степень защиты.
Технологии защиты, обеспечивающие минимум безопасности
Рассматриваемые в этом примере компании имели сетевые соединения, показан-
показанные на рис. 2.6. Филиалы были связаны с предприятием линиями ISDN и лишь в не-
нескольких случаях линиями, использующими технологию ретрансляции кадров. На
концах всех линий использовались маршрутизаторы. (На схеме, показанной на
рис. 2.6, маршрутизатор головного офиса обозначен как маршрутизатор WAN.)
Офис отделения
Общедоступный
сервер
"* *а FrornCteco...
UswMamejjdoe
Password ]
Г f-r~^
¦SI
1
i
Асинхронная
линия
'Общедоступная
сеть
Асинхронная /Маршру-
линия / тизатор
WAN
Рис. 2.6. Сетевая среда, обеспечивающая минимум безопасности
Служащие, находящиеся в пути, малых удаленных офисах или дома, используют
общедоступную телефонную сеть для удаленного доступа к сети предприятия по
асинхронным линиям удаленного доступа. Для того чтобы связать эти линии с голов-
головным офисом компании, используется сервер сетевого доступа.
76
Часть I. Выбор политики защиты

Соединение с Internet допускает как поток данных, исходящих от предприятия, так и
поток данных, направленных к общедоступному серверу предприятия. Весь трафик
Internet должен проходить через шлюзовой маршрутизатор — единственную точку дос-
доступа, связывающую сеть предприятия с Internet. Удаленные пользователи, чтобы под-
подключиться через это соединение к Internet, должны получить доступ к предприятию.
Напомним, что компании этой группы находятся на нижнем уровне шкалы защи-
защиты и несут наименьшие расходы на поддержку средств защиты. Чтобы распознать
своих пользователей, эти компании полагаются исключительно на учетные имена и
пароли. В рамках территориальной сети предприятия паролями управляет сервер
службы каталогов. Только одна из компаний этой группы использовала DHCP
(Dynamic Host Configuration Protocol — протокол динамической конфигурации хоста)
для динамического выбора IP-адресов.
Чтобы идентифицировать удаленных пользователей, все компании полагались на зна-
значение, введенное пользователем в поле пароля диалогового окна программы входа в сеть,
начинающей выполняться после того, как сервер сетевого доступа регистрировал удален-
удаленное соединение. В некоторых случаях пользователю было необходимо ввести отдельный
пароль для создания соединения. Этот пароль передавался серверу сетевого доступа с ис-
использованием протокола PAP (Password Authentication Protocol — протокол аутентифика-
аутентификации паролей) и проверялся этим сервером. Удаленные пользователи в офисах филиалов
при подключении к территориальной сети тоже идентифицировались с помощью паролей.
Удаленные маршрутизаторы для соединения с маршрутизатором, находящимся в головном
офисе, использовали маршрутизацию с предоставлением канала ISDN по требованию. Для
связи между маршрутизаторами использовался протокол РРР (Point-to-Point Protocol —
протокол двухточечных или сквозных соединений), а для их аутентификации применялись
средства РАР с фиксированными паролями, программно назначенными маршрутизаторам.
Чтобы обеспечить целостность сети, в маршрутизаторе WAN и маршрутизаторе
шлюза Internet использовались программируемые списки доступа, ограничивающие
доступ к сети предприятия на основе IP-адресов удаленных узлов. Эти списки доступа
использовались входным интерфейсом маршрутизатора WAN и выходным интерфей-
интерфейсом маршрутизатора шлюза. Списки доступа были исключительно простыми и под-
поддерживались теми же специалистами, которые управляли сетью маршрутизатора. В
этих компаниях достаточно редко применялись отдельно размещенные брандмауэры,
а если и использовались, то создавали границу защиты только вокруг особо важных
сегментов сети, например вокруг сети финансового отдела. Шифрование для защиты
каких-либо частей сети не применялось.
Для аутентификации пользователей территориальной сети и удаленных пользова-
пользователей использовались пароли. Для аутентификации связей с филиалами применялись
средства РАР в рамках протокола РРР, и только несколько компаний использовали
РАР для идентификации удаленных клиентов. Протокол РАР относительно легко об-
обмануть, поскольку он предполагает пересылку пароля в открытом виде. Подробнее
протокол РАР будет обсуждаться в главе 4.
При управлении доступом эти компании полагались исключительно на списки
доступа, программируемые в маршрутизаторах. Списки доступа ограничивали внеш-
внешний доступ из Internet к сети предприятия. Доступ к Internet в этих компаниях был, в
основном, неограниченным.
Ввиду того, что компании не испытывали значительных финансовых потерь из-за
нарушений системы защиты, они, как правило, не тратили средства на создание от-
отдельно размещенных брандмауэров или шифрование.
Глава 2. Оценка политики защиты 77

Итак, стратегия компаний, обеспечивающих минимум безопасности, состоит в
следующем.
Открытая политика аутентификации и управления доступом
Аутентификация:
• РАР (удаленные клиенты и филиалы);
• пароли (для узлов территориальной сети и удаленного доступа).
Управление доступом:
• списки доступа в маршрутизаторе WAN и шлюзовом маршрутизаторе;
• отсутствие отдельно размещенных брандмауэров;
• отсутствие шифрования.
Пример 2. Ограничивающая политика защиты
Рассматриваемые в этом примере компании использовали подход, при котором ус-
устанавливался баланс между свободой действий пользователей (в смысле доступности
соединений и простоты их использования) и степенью защиты сети. В ходе исследо-
исследования эти компании были классифицированы, как имеющие ограничивающую поли-
политику защиты. Как показано на рис. 2.7, при такой политике защиты наблюдается ба-
баланс между прозрачностью пользовательского доступа и требованием максимальной
надежности защиты.
• Более сложная настройка
и администрирование
• Больше сложностей
в работе для пользователей
• Стоимость защиты
$250 на каждое рабочее место
Прозрачность
доступа
пользователей
Максимальная
защита
Рис. 2.7. Ограничивающая политика защиты
Компании, о которых идет речь, использовали подход, при котором одни сетевые
соединения разрешались, а другие были ограничены, что требовало создания специ-
специальных барьеров для одних групп соединений и специальных разрешений для других.
Реализация такой системы защиты оказывается более сложной, требует больше уси-
усилий для настройки и сопровождения, а пользователям такой системы приходится вы-
выполнять дополнительные шаги для получения доступа к сети предприятия.
Эти компании имели больший штат сотрудников, занимающихся защитой, чем ком-
компании первой группы, и были готовы выделять достаточные средства на поддержку
программы реализации политики защиты. В среднем эти компании тратили около $250
78
Часть I. Выбор политики защиты

на защиту одного рабочего места (напомним, что для всех компаний издержки колеб-
колеблются от $53 до $368). Большинство компаний этой группы хотя бы раз терпели финан-
финансовые потери из-за взлома зашиты сети. В эту группу входят различные компании.
Технологии защиты, обеспечивающие средний уровень
безопасности
Компании дайной группы имели различные типы соединений и топологии сетей.
На рис. 2.8 показана схема, отражающая характерные особенности сети и демонстри-
демонстрирующая используемое в данном случае оборудование сетей.
Общедоступный
сервер
Офис отделения
Линия с
ретрансляцией
кадров
Линия с
ретрансляцией
кадров
17-8 4
dfa era q
а сиза а
Сервер Сервер
сетевого ААА/идентификации
доступа
Рис. 2.8. Сетевая среда, обеспечивающая средний уровень безопасности
Филиалы связывались с предприятием линиями, используюшими технологию
ретрансляции кадров, и лишь в нескольких случаях выделенными линиями. На кон-
концах линий использовались маршрутизаторы.
Удаленные пользователи, включая служащих, находящихся в пути, удаленных
офисах или дома, для подключения к сети предприятия по асинхронным линиям и
Глава 2. Оценка политики защиты
79

линиям ISDN использовали обычную телефонную сеть. Для того чтобы связать эти
линии с головным офисом компании, использовался сервер сетевого доступа.
Соединение с Internet допускало как поток данных, исходящих от предприятия,
так и поток данных, направленных к общедоступному серверу предприятия. Как и в
первом случае, весь этот поток данных был сосредоточен в одной точке входа, хотя
обычной практикой было использование резервных маршрутизаторов шлюза. Как
правило, поддерживались связи с несколькими поставщиками услуг Internet. Удален-
Удаленные пользователи, чтобы получить доступ к Internet, по-прежнему должны были со-
соединяться с сетью предприятия.
Чтобы идентифицировать своих пользователей, эти компании в рамках территори-
территориальной сети предприятия использовали учетные имена и пароли. Для удаленных
пользователей из филиалов компании применялся сервер каталогов, размешенный в
рамках территориальной сети предприятия. Многие из компаний, о которых идет
речь, применяли протокол DHCP для динамического выбора IP-адресов узлов терри-
территориальной сети.
Чтобы идентифицировать удаленного пользователя, все компании, кроме одной,
полагались на одноразовый пароль, который требовалось ввести во время обращения
пользователя к серверу сетевого доступа перед установкой соединения. При передаче
такого пароля серверу сетевого доступа использовались протоколы РРР и РАР. Одно-
Одноразовый пароль проверялся сервером ААА или сервером идентификационных карт.
Чтобы обеспечить целостность сети, маршрутизатор WAN и маршрутизатор шлюза
Internet использовали программируемые списки доступа, разрешающие доступ к сети
предприятия только узлам с определенными сетевыми адресами. Отдельно размещен-
размещенный брандмауэр канального уровня позволял доступ в Internet только тем соединени-
соединениям, которые исходили из области, ограниченной брандмауэром.
Для связей между филиалами и маршрутизатором WAN головного офиса, как пра-
правило, использовалась аутентификация маршрутов. Некоторые компании этой группы,
чтобы гарантировать целостность данных, передаваемых по каналам связи, уже начали
применять шифрование.
Для аутентификации пользователей как территориальной сети, так и удаленных
филиалов использовались пароли. Для идентификации пользователей, использующих
удаленный доступ, применялись одноразовые пароли, генерируемые идентификаци-
идентификационными картами. Один из клиентов этой группы пробовал вариант доступа удаленных
пользователей к предприятию через Internet. Соответствующее приложение использо-
использовало встроенные в брандмауэр средства аутентификации пользователей на основе од-
одноразовых паролей.
Для контроля доступа компании этой группы применяли широкий спектр техно-
технологий, начиная от списков доступа для маршрутизаторов и заканчивая отдельно раз-
размещенными брандмауэрами для выхода в Internet, аутентификацией маршрутов и
шифрованием связей с филиалами.
Выходной поток в Internet был ограничен в небольшом числе компаний, для чего
использовались брандмауэры канального уровня.
Некоторые компании этой группы пытались с помощью Internet создать виртуаль-
виртуальную частную сеть (Virtual Private Network — сеть VPN).
Итак, стратегия компаний, обеспечивающих более высокий уровень безопасности,
чем компании первой группы, заключается в следующем.
80 Часть I. Выбор политики защиты

Ограничивающая политика аутентификации и управления
доступом
Аутентификация:
* • одноразовые пароли (удаленный доступ и Internet);
• пароли (территориальная сеть).
Управление доступом:
• списки доступа в маршрутизаторе WAN и шлюзовом маршрутизаторе;
• брандмауэр между предприятием и Internet;
• аутентификация маршрутов (филиалы и территориальная сеть);
• шифрование связей с филиалами.
Пример 3. Закрытая политика защиты
В этом случае компании предпочитали вводить дополнительные ограничения. Они же-
желали иметь политику, которая по умолчанию обеспечивала бы более сильную защиту, даже
если это означало ограничение пользователей, замедление работы и усложнение использо-
использования системы. Эти компании относятся к группе с закрытой политикой защиты.
Рассматриваемые в этом примере компании стремятся запретить все сетевые соедине-
соединения, которые не были разрешены явно, что требует выработки исключительно подробной
политики защиты и определения полного набора привилегий для каждого пользователя.
Как показано на рис. 2.9, при закрытой политике защиты баланс между прозрачностью
пользовательского доступа и требованием максимальной защиты не сохраняется.
• Наиболее сложная
настройка и
администрирование
• Наибольшие
сложности в работе
для пользователей
• Стоимость защиты
$350 на каждое
рабочее место
Рис. 2.9. Закрытая политика защиты
В рамках такой политики, системы защиты компаний оказываются более сложны-
сложными для настройки и управления, а также более сложными для пользователей.
Не удивительно, что эти компании тратили более $350 на защиту одного рабочего
места. Компании этой группы имели самые большие сети.
В данной ситуации высокая степень защиты свидетельствовала о том, что эти компа-
компании в прошлом уже были жертвами нарушения системы защиты (что обошлось им дорого)
или их аудиторы требовали проведения закрытой политики защиты с целью предупрежде-
предупреждения возможности взлома. Все эти компании работали на рынке финансовых услуг.
Прозрачность
доступа
пользователей
Глава 2. Оценка политики защиты
81

Технологии защиты, обеспечивающие максимальный
уровень безопасности
Компании этой группы имели линии связи, аналогичные линиям связи компаний
из других групп, но число разрешенных соединений было значительно меньшим и
пользователи имели существенно меньшую свободу действий при использовании этих
соединений, чем пользователи других групп. На рис. 2.10 показана схема сети, кото-
которая отражает характерные особенности топологии сетей и демонстрирует используе-
используемое в данном случае сетевое оборудование.
Общедоступный
сервер
Офис отделения
Линия с
ретрансляцией
кадров
Маршру- Щ
ТИЗЭТОр так
WAN
Электронная
карточка
Сервер Служба
сетевого сертификации
доступа
Рис. 2.10. Сетевая среда предприятия, реализующего закрытую политику защиты
Филиалы связывались с предприятием выделенными линиями связи, если требовался
интенсивный трафик SNA (Systems Network Architecture — системная сетевая архитектура;
общее описание структуры, форматов, протоколов, используемых для передачи информа-
информации между программами IBM и оборудованием), или линиями с ретрансляцией кадров,
если использовалась комбинация IP и SNA. На концах линий применялись самые разные
типы сетевых устройств — маршрутизаторы, устройства FRAD (Frame Relay access device —
82
Часть I. Выбор политики защиты

устройство доступа с ретрансляцией кадров) или CSU/DSU (модуль обслуживания канала
и данных). На рис. 2.10 указаны маршрутизаторы, поскольку другие устройства не имеют
интересующих нас встроенных средств защиты.
Удаленные пользователи, включая служащих, находящихся в пути, удаленных
офисах или дома, для подключения к сети предприятия по асинхронным линиям и
линиям ISDN применяли обычную телефонную сеть. Для того чтобы связать эти ли-
линии с головным офисом компании, использовался сервер сетевого доступа.
Соединение с Internet допускало как поток данных, исходящих от предприятия, так и
поток данных, направленных к общедоступному серверу предприятия. Как и в первых
двух случаях, весь поток данных был сосредоточен в одной точке входа, хотя обычной
практикой быао использование резервных маршрутизаторов шлюза и подцержка связей с
несколькими поставщиками услуг Internet. Удаленные пользователи, чтобы получить дос-
доступ к Internet, по-прежнему должны были соединяться с сетью предприятия.
Чтобы идентифицировать своих пользователей, компании в рамках территори-
территориальной сети предприятия использовали учетные имена и пароли. Для удаленных
пользователей из филиалов компании применяли сервер каталогов, размещенный в
рамках территориальной сети. Многие компании использовали протокол DHCP
(Dynamic Host Configuration Protocol — протокол динамической конфигурации хос-
хоста) для динамического выбора IP-адресов узлов территориальной сети. Для иденти-
идентификации удаленных пользователей все компании применяли одноразовые пароли,
но планировали перейти к использованию цифровых сертификатов (см. рис. 2.10) в
течение ближайших шести месяцев. Цифровые сертификаты должны обрабатывать-
обрабатываться службой сертификации.
Целостность сети обеспечивалась методами, подобными тем, которые применя-
применялись компаниями с ограничивающей политикой защиты. Маршрутизаторы WAN и
маршрутизаторы шлюза Internet использовали программируемые списки доступа,
разрешающие доступ к сети предприятия только узлам с определенными сетевыми
адресами. Отдельно размещенный брандмауэр с фильтрацией пакетов позволял дос-
доступ в Internet только тем соединениям, которые исходили из области, ограниченной
брандмауэром.
Для связи между филиалами и маршрутизатором WAN головного офиса аутентифика-
аутентификация маршрутов была правилом. Для соответствующих каналов связи компании этой груп-
группы использовали отдельно размещенные устройства канального шифрования (на схеме не
показаны), чтобы таким образом гарантировать секретность своей информации.
Для аутентификации пользователей как территориальной сети, так и удаленных
филиалов использовались пароли. Для аутентификации удаленных пользователей
применялись одноразовые пароли, генерируемые идентификационными картами, хотя
планировался переход к цифровым сертификатам и смарт-картам, поскольку они
обеспечивают лучшую защиту и гибкость.
Для контроля доступа эти компании использовали широкий спектр технологий, начи-
начиная от списков доступа для маршрутизаторов и заканчивая отдельно размещенными
брандмауэрами для выхода в Internet, аутентификацией маршрутов, шифрованием всех ис-
исходящих из узлов внутренней сети связей (и даже некоторых внутренних связей). Выход в
Internet был разрешен только ограниченной группе пользователей сети.
Ни одна из компаний не собиралась предоставлять возможность доступа к сети пользо-
пользователям из Internet, поскольку соответствующие средства защиты пока недоступны.
Итак, стратегия компаний, реализующих более высокую степень защиты, чем
компании первых двух групп, состоит в следующем.
Глава 2. Оценка политики защиты 83

Закрытая политика аутентификации и управления доступом
Аутентификация:
• цифровые сертификаты (удаленный доступ, связь с филиалами и территориаль-
территориальная сеть).
Управление доступом:
• списки доступа в маршрутизаторе WAN и маршрутизаторе шлюза;
• брандмауэр между сетью предприятия и Internet;
• аутентификация маршрутов (филиалы и территориальная сеть);
• шифрование (удаленный доступ, связь с филиалами и частично территори-
территориальная сеть).
Результат исследования
Как показывает проведенный выше анализ, решение проблемы защиты для каж-
каждой компании будет своим, и даже для одной и той же компании оно может меняться
со временем. Подробный анализ, планирование и использование средств типа
CiscoSecure Scanner позволят реализовать подходящее решение наиболее экономич-
экономичным и эффективным способом. В табл. 2.1 приводится краткая сводка применения
технологий сетевой защиты различными компаниями.
использования технологий защи-rbi fET^J
Критерий Открытая Ограничивающая Закрытая
Пароли Да Да Да
Идентификационные карты Мет Нет Да
Брандмауэры Нет Да Да
Шифрование Нет Иногда Да
Цифровые сертификаты Нет Нет Да
Резюме
В этой главе обоснована необходимость разработки политики сетевой защиты. Данный
раздел содержит краткое описание рассмотренных главе вопросов.
• Следует оценить стоимость внедрения и поддержки политики защиты с учетом
простоты использования средств защиты и затрат ресурсов, сравнить получен-
полученные оценки с вероятностью возможных потерь от нарушений защиты и найти
баланс, приемлемый для вашего предприятия.
• Оценка состояния системы защиты представляет собой итерационный процесс,
состоящий из четырех этапов, призванных помочь постепенно и последова-
последовательно выстроить систему защиты сети, — это защита, мониторинг, тестирова-
тестирование и совершенствование.
84 Часть I. Выбор политики защиты

• Политика защиты является формальным набором правил, в соответствии с ко-
которыми должны действовать лица, получающие доступ к технологическим и
информационным активам предприятия.
• Политика защиты сети стоит затраченных на ее создание усилий, поскольку она
обеспечивает общий каркас системы защиты, определяет допустимое поведение в
сети, помогает сформулировать цели защиты, является базой для проверки ее на-
надежности и основанием для применения соответствующих санкций к нарушителям,
а также определяет процедуры обработки инцидентов нарушения зашиты.
• Политика защиты может использоваться для выявления активов, которые сле-
следует защитить, и главных сетевых угроз, которых компании следует опасаться.
• Хотя политика защиты и не является детальным планом реализации защиты,
все же она может сформулировать ключевые цели защиты, которые должны
быть достигнуты, что упрощает задачу исполнителям директив политики.
• Политика защиты может играть обучающую роль для пользователей, разъясняя
им, что приемлемо и неприемлемо при работе в сети.
• Политика защиты сети должна определять процедуры и средства, используемые
для аудита и поддержки системы защиты.
• Аудиторские проверки системы защиты должны проводиться регулярно и дос-
достаточно часто, но, кроме того, следует проводить и внеплановые проверки.
• Компания должна иметь подробно описанный и оформленный документально
план действий в случае инцидентов защиты, чтобы гарантировать, что инци-
инциденты защиты будут разрешены.
• Узел группы компьютерной "скорой помощи" CERT (www.cert.org) является хо-
хорошим информационным ресурсом по вопросам выявления сетевых угроз и
способов противодействия им.
• Политика защиты сети может быть открытой, ограничивающей или закрытой.
Как правило, чем более ограничивающей является политика защиты, тем выше
ее стоимость.
Практическое занятие. Оценка
политики защиты сети компании XYZ
На этом практическом занятии предлагается оценить политику защиты сети гипотети-
гипотетического предприятия — компании XYZ. Прочитайте сначала приложение А, "Структура
сети компании XYZ", чтобы узнать о структуре сети компании, а затем приложение Б,
"Политика сетевой защиты компании XYZ", чтобы получить общее представление о поли-
политике защиты сети компании. После этого вы будете готовы ответить на поставленные ни-
ниже вопросы, которые помогут вам оценить политику сетевой защиты компании XYZ.
План практического занятия
Компания XYZ разработала политику сетевой защиты. Она поручает вам проана-
проанализировать эту политику с точки зрения ее реализации на сетевом оборудовании
Cisco, которое компания XYZ приобрела и установила в своей сети. Ответьте на сле-
следующие вопросы.
Глава 2. Оценка политики защиты 85

1. Кто уполномочен начать внедрение политики сетевой защиты?
2. Какова роль администратора сети в процессе внедрения и реализации политики
сетевой защиты?
3. Какова процедура сопровождения политики защиты?
4. Определите область применимости политики сетевой защиты компании XYZ.
Насколько ограничивающей она является?
5. Какова общая политика защиты сети XYZ в отношении пользователей террито-
территориальной сети?
6. Какова общая политика зашиты сети XYZ в отношении доступа к Internet?
7. Какова общая политика защиты сети XYZ в отношении удаленных пользователей?
8. Какие методы планирует использовать компания XYZ для выявления сетевых
вторжений?
9. Какова процедура обработки инцидентов защиты компании XYZ?
10. Как компания XYZ планирует обучать пользователей приемлемым способам ис-
использования сети?
Ответы на вопросы практического занятия
Теперь давайте рассмотрим ответы на вопросы практического занятия.
1. Правление компании XYZ и исполнители высшего звена были уполномочены
акционерами компании начать осуществление и поддержку политики зашиты в
соответствии с законами под руководством главы отделения информационной
безопасности XYZ и правоведа корпорации.
2. Сетевой администратор играет роль гаранта надежности защиты предприятия XYZ.
Администратор должен убедиться в том, что действия, выполняемые в процессе
реализации политики защиты, не приводят к снижению уровня защиты сети.
3. Заинтересованные лица компании должны пересматривать и обновлять политику
не реже одного раза в год, а отделение информационных систем должно прово-
проводить внеплановые проверки системы и документировать результаты.
4. Политика является умеренно ограничивающей. Аутентификация выполняется
сервером TACACS+, по не серверами идентификационных карт. Выходной поток
в Internet не ограничивается, но поступающий — ограничивается. В рамках тер-
территориальной сети доступ контролируется уровнями доверия. Удаленный доступ
контролируется паролями под управлением сервера TACACS+.
5. Доступ к ресурсам и оборудованию территориальной сети контролируется по-
посредством присваивания уровней доверия пользователям, в зависимости от вы-
выполняемых ими задач. Несанкционированный доступ запрещается.
6. Выход в Internet для пользователей территориальной сети и удаленных пользова-
пользователей в интересах бизнеса не ограничивается. Внешний доступ из Internet запре-
запрещен, если только на это нет специального разрешения. Для реализации политики
доступа к Internet будет использоваться брандмауэр.
7. Удаленный доступ через общедоступную телефонную сеть интерпретируется как
расширение внутренней сети XYZ, поэтому ограничения для этого типа доступа
86 Часть I. Выбор политики защиты

аналогичны ограничениям территориальной сети. Доступ управляется паролями
или идентификационными картами и соответствующими серверами, а также сер-
сервером TACACS+.
8. Компания XYZ планирует для выявления вторжений в сеть использовать систему
обнаружения вторжений, регулярно просматривать журналы событий сетевого обо-
оборудования, устанавливать и использовать средства регистрации состояния хостов, а
также регулярно проверять систему защиты с помощью сетевого сканера. Для вы-
выявления попыток вторжения будет использоваться система CiscoSecure IDS.
9. Заинтересованные лица компании XYZ должны разработать детальные планы
действий для всех возможных инцидентов защиты, включая непредвиденные об-
обстоятельства.
10. Осознанная поддержка политики защиты должна стать обязательной частью требова-
требований, предъявляемых служащим. При трудоустройстве пользователи в обязательном
порядке должны ознакомиться с политикой защиты и ежегодно подтверждать подпи-
подписью согласие с ней. Служащих также предполагается информировать об использова-
использовании психологических методов для проведения атак против системы защиты.
Контрольные вопросы
Ответьте на следующие контрольные вопросы, касающиеся некоторых ключевых
моментов и понятий, рассмотренных в этой главе.
1. Какие два элемента сетевой защиты должны быть уравновешены?
2. Из каких пяти компонентов состоит цикл защиты?
3. Что представляет собой политика защиты сети?
4. Почему предприятию следует тратить усилия и время на разработку эффективной
политики сетевой защиты?
5. Назовите основные разделы политики сетевой защиты.
6. Для чего можно использовать политику сетевой защиты?
7. Каким образом политика сетевой защиты может помочь при тестировании систе-
системы защиты?
8. Какие из средств, предлагаемых компанией Cisco, применяются для проверки
систем защиты?
9. Куда можно сообщить о неизвестном ранее серьезном случае сетевого вторжения?
10. Что является основным требованием закрытой политики защиты?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Глава 2. Оценка политики защиты 87

Разработка политики защиты
Bernstein Т., Bismani A., Schultz E. and Siegel С. Internet Security for Business. Wiley
Computer Publishing, 1996. Описывает варианты реализации защиты с точки зрения
перспективы бизнеса.
Каео М. Designing Network Security. Cisco Press, 1999.
"The Politics of Information Management" {www.strassmann.com/iep/info-politics.htmt).
RFC 2196. "Site Security Handbook". Набор стандартов, касающихся политики сете-
сетевой защиты.
Примеры политики защиты и соответствующие
рекомендации
Web-узел "The Electronic Frontier Foundation", www.ejf.org.
"Guidelines for the Security of Information Systems", документ ICCP (Information,
Computer, and Communications Policy Committee — Комитет информационной, ком-
компьютерной и коммуникационной политики), доступный по адресу: www.oecd.org/
dsti/sti/it/secur/prod/e_secur.htm. Набор руководств по вопросам создания политики
защиты.
"Internet Security Policy: A Technical Guide NIST Special Publication 800-XX", авторы
Барбара Гуттман (Barbara Guttman) и Роберт Багвилл (Robert Bagwill), доступен по адресу:
csrc.nist.gov/isptg. Всеобъемлющий и реалистичный источник информации о политике сете-
сетевой защиты. Документ может быть загружен в разных форматах (Microsoft Word 97, Adobe
Acrobat PDF и HTML). Если у вас будет время проверить только одну ссылку, выберите
именно эту!
"Model Security Policies" (www.sans.org/newlook/resources/policies/policies.htm). Образ-
Образцы политики защиты, коллекция Микеля Грабб-Гуля (Michele Crabb-Guel).
"Security Policies for the Internet", автор Стефен Л. Арнольд (Stephen L. Arnold) из Arnold
Consulting, документ доступен по адресу: www.amold.com/policies_9512_slides.html. Пример
политики защиты доступа в Internet.
Центры реагирования на инциденты защиты
Австралийская группа компьютерной "скорой помощи" (AUSCERT),
www. auscert. org.au.
Домашняя страница группы компьютерной "скорой помощи" (CERT), www.cert.org.
Главный центр реагирования на инциденты защиты.
Домашняя страница консультативного совета по вопросам компьютерных инци-
инцидентов (CIAC), www.ciac.llnl.gov.
Страница группы поддержки автоматизированных систем обработки инцидентов
защиты разведывательного управления министерства обороны США, посвященная
вопросам противодействия атакам блокирования сервиса (www.assist.mil).
"European Contact List" (www.cert.dfh.de/eng/csir/europe/certs.htmt). Узел предлагает
полный список европейских отделений CERT.
Форум групп защиты и реагирования на инциденты защиты (FIRST), www.first.org.
Международная группа реагирования на инциденты защиты.
88 Часть I. Выбор политики защиты

Домашняя страница немецкой исследовательской группы компьютерной "скорой
помощи" (DFN-CERT), www.cert.dfn.de/eng. Создана в помощь членам немецкой ис-
исследовательской сети с целью совершенствования защиты входящих в нее узлов.
Домашняя страница центра NASA реагирования на инциденты защиты (NASIRC),
nasirc.nasa.gov/NASIRC_home.html.
Другие Web-узлы, посвященные вопросам защиты
Архив COAST (www.cs.purdue.edu/coast/hotlist). Это архив университета Пэдью.
По-видимому, это наиболее полный архив связанных с защитой ссылок в Internet.
Если какой-либо узел посвящен защите, то ссылка на него, скорее всего, имеется в
архиве COAST.
"InfoSec and InfoWar Portal" (www.infowar.com). Краткая сводка ресурсов защиты.
Сеть ресурсов защиты Национального института безопасности (www.nsi.org/
compsec.html).
Глава 2. Оценка политики защиты 89

Изучив материал этой главы, вы сможете выполнить следующие задачи.
• Идентифицировать,потенциальные угрозы территориальной сети предпри-
предприятия (кампуса) и выбрать методы защиты, позволяющие уменьшить опас-
опасность таких угроз.
• Предпринять шаги, усиливающие физическую защищенность оборудования.
• Выяснить, как обеспечить защиту .Административного интерфейса маршру-
маршрутизаторов Cisco. „. чЛ,.
• Использовать методы й команды, обеспечивающие защиту связи между мар-
маршрутизаторами. Д" ., \; .?'«
• Использовать настройки коммутаторов Ethernet Cisco, позволяющие обеспечить
защиту инфраструктуры сети. Л v f? ' te

Глава
з
Защита инфраструктуры сети
В этой главе обсуждается использование настроек маршрутизаторов Cisco IOS и
коммутаторов Ethernet, обеспечивающих защиту инфраструктуры территориальной сети
предприятия (кампуса). Глава начинается с обсуждения потенциальных угроз защите се-
сети, типичных в условиях кампуса. В результате обсуждения будет ясно, как можно усо-
усовершенствовать физический доступ к сетевым устройствам.
Здесь будут рассмотрены вопросы зашиты административного интерфейса маршру-
маршрутизаторов и контроля доступа к сетевым устройствам Cisco с помощью протокола SNMP
(Simple Network Management Protocol — простой протокол сетевого управления), а также
вопросы выбора конфигурации маршрутизаторов, позволяющей обеспечить защиту
файлов конфигурации в серверах TFTP (Trivial File Transfer Protocol — простейший про-
протокол передачи данных). Кроме того, в главе будет рассмотрено использование стан-
стандартных и расширенных списков доступа, позволяющих организовать управление сете-
сетевым потоком маршрутизаторов кампуса. Основными элементами территориальной сети
предприятия являются коммутаторы Ethernet, поэтому мы обсудим вопрос управления
доступом коммутаторов Ethernet к портам и административным интерфейсам. Вы полу-
получите необходимые практические знания, изучив предлагаемые в главе примеры, в кото-
которых политика сетевой защиты гипотетической компании XYZ выражается в терминах
соответствующих команд конфигурации маршрутизатора сети.
Проблемы защиты территориальной
сети и варианты их решения
Инфраструктура территориальной сети предприятия (или кампуса), включающая
маршрутизаторы Cisco и коммутаторы Ethernet, уязвима в отношении угроз, исходя-
исходящих от внутренних и внешних нарушителей. Нарушителями, создающими угрозу се-
сети, могут быть следующие лица.
• Служащие, проявляющие излишнее любопытство или желающие получить дос-
доступ к защищенным участкам сети.
• Служащие или пользователи, неумышленно выполняющие действия, которые
могут нарушить сетевую защиту.
• Враждебно настроенные уволенные служащие.
• Шпионы, преследующие задачу выявления внутренней информации компании.

Сложнее всего, пожалуй, выявить нарушения, исходящие со стороны служа-
служащих компании, поскольку обычно между служащими и их работодателями под-
поддерживаются доверительные отношения. В арсенале сетевых нарушителей имеется
множество методов, позволяющих провести атаку на инфраструктуру территори-
территориальной сети. Если знать уязвимые точки сети и правильно сконфигурировать се-
сетевые устройства с тем, чтобы должным образом обеспечить наилучшую защиту
сети в этих точках, можно существенно усилить защиту инфраструктуры сети. Из
этой главы вы узнаете, как обеспечить защиту инфраструктуры территориальной
сети на практике. Вот список некоторых конкретных угроз, которым подвержено
сетевое оборудование:
• возможность доступа к консоли устройств и портам Telnet;
• возможность доступа к файлам конфигурации маршрутизаторов и паролей;
• возможность доступа к данным конфигурации устройств и выяснения тополо-
топологии внутренней сети с помощью средств SNMP;
• возможность выяснения топологии внутренней сети с помощью перехвата об-
обновлений маршрутизации;
• возможность перенаправления потока данных с помощью фальсифицированных
обновлений маршрутизации;
• возможность доступа к закрытым данным внутренней сети;
• возможность доступа HTTP (Hypertext Transfer Protocol — протокол передачи
гипертекстовых файлов) к маршрутизаторам;
• возможность несанкционированного доступа через коммутаторы Ethernet.
На рис. 3.1 показана инфраструктура территориальной сети компании XYZ —
сети, которая будет обсуждаться в этой главе. Инфраструктура этой сети состоит
из двух внутренних подсетей — сети сбыта и сети производственного подразделе-
подразделения. В каждой подсети имеется маршрутизатор Cisco (обеспечивающий защиту
потока данных сети) и коммутаторы Ethernet. Кроме того, в каждой из них есть
размещенные в рамках соответствующего подразделения компьютеры-клиенты и
сетевые серверы, нуждающиеся в защите.
Решение проблемы зашиты инфраструктуры территориальной сети предпри-
предприятия заключается в выборе правильной конфигурации сетевой инфраструктуры в
соответствии с политикой защиты, учитывающей реальные угрозы данной сети.
Точки уязвимости инфраструктуры сети, которым требуется обеспечить защиту,
хорошо известны, и также хорошо известны методы противодействия соответст-
соответствующим угрозам. Конфигурация устройств, обеспечивающая защиту инфраструк-
инфраструктуры сети, складывается из следующих компонентов:
• защита физических устройств;
• зашита административного интерфейса;
• защита связей между маршрутизаторами;
• защита коммутаторов Ethernet.
92 Часть I. Выбор политики защиты

Клиент
Сервер
Производственный
отдел
.*2^Ш?ШШ
Клиент Сервер
Удаленный доступ
СерверWeb
Клиент
Система
сетевого
управления
Рис. 3.1. Инфраструктура территориальной сети компании XYZ, включающей нуж-
нуждающиеся в защите две внутренние подсети
Защита физических устройств
Физический доступ к сетевому оборудованию может обеспечить искушенному
пользователю возможность практически полного контроля над ним. Физический дос-
доступ к линии связи дает возможность перехватывать поступающие сообщения или вне-
внедрять в линию дополнительные данные. Нет никакого смысла устанавливать сложные
программные средства защиты, если не контролируется доступ к сетевому оборудова-
оборудованию и линиям связи. Например, лицо, имеющее возможность физического доступа к
маршрутизатору, фактически имеет доступ к консольному порту и может переустано-
переустановить системный пароль, в результате чего будет получено право полного доступа к
маршрутизатору и, возможно, к другим сетевым устройствам. Необходимо обеспечить
защиту сетевого оборудования посредством решения следующих задач.
• Выбор правильной конфигурации оборудования и политики контроля. Следует раз-
разработать план политики защиты сети в отношении сетевого оборудования и
линий связи. Необходимо также регулярно выполнять проверки состояния за-
зашиты, чтобы гарантировать требуемый уровень физической защиты.
Глава 3. Защита инфраструктуры сети
93

• Ограничение доступа к оборудованию и обеспечение надежности его электропита-
электропитания и охлаждения. Следует позаботиться о правильном размещении оборудова-
оборудования. Разместите оборудование в помещениях, имеющих средства физического
контроля доступа (например, электронные замки с идентификационными кар-
карточками или даже самые обычные замки). Тщательно контролируйте право со-
сотрудников иметь соответствующие ключи и доступ к таким комнатам. Поза-
Позаботьтесь о том, чтобы для важного оборудования имелись альтернативные ис-
источники питания. Можно установить для такого оборудования источники
бесперебойного питания (ИБП). Позаботьтесь также о том, чтобы охлаждение
оборудования было достаточно интенсивным для предотвращения перегрева.
• Контроль прямого доступа ко всему сетевому оборудованию. Закройте корпуса
оборудования на замки или разместите оборудование в ячейках стоек, закры-
закрывающихся на замки. Разрешите доступ к консольному порту только ограничен-
ограниченному числу строго контролируемых лиц. Позаботьтесь о том, чтобы доступ к
оборудованию нельзя было осуществить через разборные потолки или полы со-
соответствующих комнат.
• Обеспечение защиты линий связи. Убедитесь в том, что все коммуникационные
линии и сетевые провода защищены от прослушивания, а распределительные
шкафы надежно закрыты. Постоянно проверяйте оборудование, чтобы не до-
допустить несанкционированное подсоединение модемов к консольным портам.
• Разработка плана восстановления системы в случае катастрофы. Разработайте
план восстановления работоспособности системы, соответствующий условиям
размещения вашего предприятия.
Защита административного
интерфейса
Одной из главных точек атак нарушителей является административный интерфейс
маршрутизаторов Cisco, коммутаторов Ethernet и серверов сетевого доступа. Если наруши-
нарушитель сможет получить доступ к административному интерфейсу устройства, он сможет вы-
выяснить конфигурацию соответствующего устройства, изменить ее в соответствии со свои-
своими целями и получить право управления этим устройством или право доступа к другим
элементам сетевого оборудования, связанным с данным устройством. Защита администра-
административного интерфейса маршрутизаторов Cisco включает следующее:
• защита доступа к консоли;
• использование шифрования паролей;
• тщательная настройка параметров линий связи;
• использование многоуровневой системы привилегий доступа;
• использование информационных баннеров устройств;
• управление доступом Telnet;
• управление доступом SNMP.
94 Часть I. Выбор политики защиты

Защита доступа к консоли
Консоль представляет собой терминал, связанный непосредственно с маршрути-
маршрутизатором через консольный порт, как показано на рис. 3.2. Защита консоли означает
требование к пользователям идентифицировать себя путем введения паролей. В
конфигурации маршрутизатора, устанавливаемой по умолчанию, пароли консоли не
назначаются, и изначально в диалоговом окне настройки конфигурации установка
соответствующего пароля не требуется. Поэтому необходимо установить этот пароль
с помощью команд изменения конфигурации. Физическую защиту маршрутизатора
обеспечить очень важно, так как при отсутствии такой защиты нарушитель может
установить свой пароль, вызвав сначала перезагрузку, а затем нажав клавишу
<Break>, чтобы инициализировать процесс обновления пароля. Пароли могут на-
назначаться непосредственно в маршрутизаторе или же они могут контролироваться
удаленной базой данных защиты (как это реализовано, например, в сервере управ-
управления доступом CiscoSecure ACS), наряду с процессами ААА (аутентификации, ав-
авторизации и аудита) Cisco IOS.
Консоль
Консольный порт
Маршрутизатор
подразделения
Рис. 3.2. Терминал, связанный с консольным
портом маршрутизатора
Маршрутизаторы Cisco могут работать в различных режимах. Сначала вы получаете
доступ к консольному порту в режиме пользователя (user EXEC). Если пароль уровня
пользователя, называемый также паролем начала сеанса (login password), был установ-
установлен, вам будет предложено ввести его. В режиме пользователя маршрутизатор отобра-
отображает имя хоста маршрутизатора и символ приглашения в виде router>. В режиме
пользователя можно использовать ряд команд, список которых можно получить в ре-
результате введения ? или help.
Чтобы получить доступ к привилегированному уровню (privileged EXEC или enable),
необходимо ввести enable и нажать <Enter>. Если пароль режима enable был установ-
установлен, маршрутизатор запросит его. В этом режиме имя хоста маршрутизатора и символ
приглашения отображаются в виде routert. Привилегированный режим открывает дос-
доступ к большему набору команд, а также доступ к режиму глобальной конфигурации, в
котором вы можете изменить конфигурацию маршрутизатора. Для привилегированного
режима можно установить разные уровни привилегий команд и разные уровни админи-
администрирования. Управление доступом пользователей к привилегированным уровням явля-
является очень важной составляющей защиты маршрутизатора.
Глава 3. Защита инфраструктуры сети 95

Установка паролей консоли
Можно установить пароли как для режима пользователя, так и для привилегиро-
привилегированного режима. Пароли консоли могут включать до 25 буквенно-цифровых символов
как верхнего, так и нижнего регистров.
Приведем некоторые рекомендации, касающиеся парольной защиты консоли и
Telnet, включая правила выбора надежных паролей и правила управления ими.
• Назначайте пароли при первой же установке системы. Не используйте пароли,
установленные по умолчанию.
• Убедитесь, что привилегированный пароль отличается от пароля доступа.
• Используйте пароли со смешанным набором символов (не ограничивайтесь
только буквами нижнего и верхнего регистров), чтобы максимально усложнить
нарушителю задачу взлома пароля.
• Не записывайте пароли и не храните их там, где они могут быть легко найдены.
• Не используйте легко угадываемые пароли типа имен домашних животных, ад-
адресов или дней рождения.
• Как можно чаще меняйте пароли.
• Никогда не используйте пароли типа "cisco" или "san-fran", равно как и другие
очевидные производные известных слов в условиях реального предприятия. Та-
Такие пароли обязательно будут проверены нарушителями, если последние обна-
обнаружат приглашение входа в систему Cisco.
Пароль пользовательского режима
Пароль консоли для режима пользователя устанавливается в файле конфигурации
маршрутизатора с помощью команд, показанных в примере 3.1. В паролях различаются
символы верхнего и нижнего регистров. В данном примере паролем является ruHamlet.
Пример 3.1. Установка пароля к6йсолйдлярежиМа-начал^Ш»анса.,:".; '1||^!
router(config)lline console 0
router(config-line)tlogin
router(conf ig-1ine)# pa ssword ruHamlet
При входе в систему маршрутизатора с установленным паролем начала сеанса,
приглашение маршрутизатора будет выглядеть подобно показанному в примере 3.2.
• Пример 3.2. Вид приглашения маршрутизатора с установленным паролем .
начала сеанса
User Access Verification
Password:ruHamlet
router>
В этом примере, чтобы получить непривилегированный доступ к маршрутизатору,
необходимо ввести пароль ruHamlet. В ответ маршрутизатор открывает режим пользо-
пользователя, на что указывает приглашение ">". В этом режиме имеется возможность вве-
ввести ряд команд, позволяющих получить информацию о работе маршрутизатора, но
нет возможности изменить его конфигурацию.
96 Часть I. Выбор политики защиты

Пароль привилегированного режима
Пароль привилегированного режима устанавливается в файле конфигурации мар-
маршрутизатора в режиме глобальной конфигурации с помощью команд, показанных в
примере 3.3. В этом примере пароль указывается в виде открытого текста 2Ьг!2Ь8?.
Пример З.ЗкУстановка пароля/^яреж
router(config)tenable password 2br!2b??
Чтобы перейти в привилегированный режим из непривилегированного, следует
действовать так, как показано в примере 3.4. Маршрутизатор запрашивает пароль
привилегированного режима. В данном примере, чтобы получить привилегированный
доступ к маршрутизатору, необходимо ввести пароль 2br!2b§?. В ответ маршрутизатор
открывает привилегированный доступ, на что указывает приглашение "I".
Пример 3.4. Выход в привилегированный режим из непривилегированного I
с помощью ввода соответствующего пароля :
router>enable
Password: 2br!2b§?
routerf
Шифрование паролей
По умолчанию все пароли консоли и Telnet сохраняются в маршрутизаторе в от-
открытом виде и поэтому оказываются уязвимыми. Кроме того, их можно перехватить
во время сеанса Telnet при вводе пароля привилегированного доступа или просмотра
конфигурации с помощью команд write terminal или show running-conf ig привиле-
привилегированного режима. Пароли оказываются уязвимыми и при хранении конфигурации
маршрутизатора на сервере TFTP.
Как станет ясно из последующих разделов, имеется две возможности скрыть паро-
пароли, обеспечиваемые командами service password-encryption и enable secret.
Команда service password-encryption
Данная команда заставляет систему хранить пароли конфигурации маршрутизатора
в зашифрованном виде. Применяемая при этом схема шифрования представляет со-
собой специальный обратимый алгоритм, используемый в устройствах Cisco и постро-
построенный на основе шифра Виженера, являющегося одним из вариантов полиалфавит-
полиалфавитного шифра.
Шифрование касается всех паролей, включая пароли пользователей, ключей аутен-
аутентификации, привилегированных команд, доступа к консоли и виртуальным термина-
терминалам, а также пароли BGP (Border Gateway Protocol — пограничный межсетевой про-
протокол, протокол BGP). Соответствующая команда имеет такой вид.
router(config)fenable password [level уровень] {пароль \
[ тип-шифрования] шифрованный-паропь)
Параметры команды и их значения представлены в следующей таблице.
Глава 3. Защита инфраструктуры сети 97

Синтаксис
Описание
level уровень (необязательный) Определяет уровень привилегий, для которого устанавливается
пароль. Можно указать до 16 уровней привилегий, используя номера от 0 до 15.
Уровень 1 соответствует уровню привилегий обычного пользователя привилегиро-
привилегированного режима. Если этот параметр в данной команде (или в соответствующей
команде с префиксом по) не определен, то для уровня привилегий по умолчанию
устанавливается значение 15 (традиционно соответствующее разрешению приви-
привилегий). То же верно и для соответствующей команды с префиксом по
пароль Задает пароль, требуемый от пользователя для входа в привилегированный ре-
режим. Этот пароль должен отличаться от пароля, создаваемого с помощью команды
enable secret
тип-шифроваиия (необязательный) Указывает используемый в устройствах Cisco алгоритм, с помо-
помощью которого выполняется шифрование пароля. В настоящее время единственным
допустимым значением для этой команды является 7. Если этот параметр указан,
то следующий параметр должен задавать шифрованный пароль (пароль, шифро-
шифрованный маршрутизатором Cisco с помощью указанного типа шифрования). Если
указано значение 0, пароль следует вводить в открытом виде
•анный-паролъ Определяет вводимый вами шифрованный пароль, копируемый из другой области
конфигурации маршрутизатора
Предупреждение
Команда service pasBword-encryption не обеспечивает высокого уровня защиты. Многие
программы взлома паролей способны расшифровать пароли Cisco. При использовании
этой команды вам придется принять дополнительные меры сетевой защиты.
Если возможность шифрования пароля активизирована, при вводе команды show
running-config пароль будет показан в зашифрованном виде. Ключевое слово password
7 указывает, что возможность шифрования пароля активизирована, как показано в
примере 3.5.
3.5. Ши
шифрования пароля активизирована
пароля говори-r о том, что возможность
router!show running-config
enable password 7 14141B180F0B
!
line con 0
password 7 094F471A1A0A
!
line vty 0 4
password 7 05080F1C2243
Команда enable password позволяет задать шифрование пароля с помощью метода
шифрования Cisco. Как правило, эту опцию следует использовать только для повторного
ввода неправильно введенного шифрованного пароля до выхода из привилегированного
режима. Если в команде enable pa в sword указан тип шифрования пароля, пароль должен
вводиться в зашифрованном виде, отображаемом командой show running-config. Если вы
введете пароль в открытом виде, не сможете снова войти в привилегированный режим.
98
Часть I. Выбор политики защиты

Замечание
Если вы потеряете или забудете шифрованный пароль, вам придется очистить энер-
энергонезависимое ЗУ (NVRAM) и установить новый пароль.
Команда enable secret
Эта команда глобальной конфигурации предполагает применение схемы односто-
одностороннего шифрования, основанной на использовании функции хэширования MD5,
которая будет описана в главе 13. Этот метод шифрования более надежен, чем метод,
предлагаемый командой service password-encryption. Команда доступна в рамках
Cisco IOS Software версий 10.0(9), 10.2E), 10.3B) и последующих. Пароли данной ко-
команды остаются уязвимыми в отношении перебора всех вариантов и перебора по сло-
словарю. Рассмотрим синтаксис этой команды.
enable secret [level уровень] {пароль \ [тнп-шнфрования] шнфроваввый-паропь)
Параметры команды и их значения представлены в следующей таблице.
Синтаксис Описание
level уровень (необязательный) Определяет уровень привилегий, для которого устанавливается
пароль. Можно указать до 16 уровней привилегий, используя номера от 0 до 15.
Уровень 1 соответствует уровню привилегий обычного пользователя привилеги-
привилегированного режима. Если этот параметр в данной команде (или в соответствую-
соответствующей команде с префиксом по) не определен, то для уровня привилегий по умол-
умолчанию устанавливается значение 15 (традиционно соответствующее разрешению
привилегий). То же верно и для соответствующей команды с префиксом по
пароль Задает пароль, требуемый от пользователя для входа в привилегированный ре-
режим. Этот пароль должен отличаться от пароля, создаваемого с помощью коман-
команды enable password
тип-шифрования (необязательный) Указывает используемый в устройствах Cisco алгоритм, с по-
помощью которого выполняется шифрование пароля. В настоящее время единст-
единственным допустимым значением для этой команды является 5. Если этот параметр
указан, то следующий параметр должен задавать шифрованный пароль (пароль,
шифрованный маршрутизатором Cisco с помощью указанного типа шифрования).
Если указано значение 0, пароль следует вводить в открытом виде
шифроваиный-пароль Определяет вводимый вами шифрованный пароль, копируемый из другой облас-
области конфигурации маршрутизатора
На пароль команды enable secret указывает число 5, как видно из примера 3.6.
|Пример 3.6. На шифрованный парол^ enable secret указь1ваётчШло5^^^^^^^^|^^^|
routerfshow running-config
i
enable secret 5 $l$6cWV$inD7guHPLlD3ZmdX08MMS/
Конечно, шифрование полезно, но все же это не должно быть единственным ме-
методом, используемым для зашиты сетевых паролей.
Специалисты Cisco рекомендуют команду enable secret, поскольку она предпола-
предполагает применение более совершенного алгоритма шифрования. Используйте команду
Глава 3. Защита инфраструктуры сети 99

enable password только при загрузке достаточно старого программного обеспечения
Cisco IOS или загрузчиков на ПЗУ (до версий 10.3, 4000 и 4000М маршрутизаторов
Cisco), не распознающих команду enable secret.
Настройка параметров линии
Установка паролей начала сеанса и привилегированного доступа в некоторых случаях
не может обеспечить достаточную степень защиты. Если консоль или сеанс связи Telnet
останется без контроля в привилегированном режиме, любой пользователь сможет изме-
изменить конфигурацию маршрутизатора. Можно указать предельное время открытого состоя-
состояния несопровождаемых линий, тем самым обеспечив дополнительную степень защиты.
Регулирование предельного времени работы несопроюждаемой консоли (которой по
умолчанию является консоль, не используемая в течение 10 минут) обеспечит дополни-
дополнительную меру защиты. Можно изменить предельную длительность такой работы с помо-
помощью команды exec-timeout m ss, где m означает минуты, a ss — секунды, как показано в
примере на рис. 3.3 (в этом примере значение предельной длительности работы консоль-
консольного порта без сопровождения устанавливается равным 2 минутам 30 секундам).
Консоль
router(config)#line console в
router(config-line)#exec-tineout 2 Зв
Маршрутизатор
подразделения
Рис. 3.3. Управление настройками линии с помощью соответствующих команд
с их многочисленными опциями
Для управления защитой линии оказываются полезными и многие другие команды
конфигурации. В примере 3.7 показаны некоторые типы линий, для которых в Cisco
IOS предусмотрена настройка множества параметров.
ые типы линий, для которь1Х в Cisccj IQS
настройка множества параметров
router(config)ifline
<0-70> First Line number
aux Auxiliary line
console Primary terminal line
tty Terminal controller
vty Virtual terminal
В примере 3.8 показаны некоторые из множества параметров, с помощью которых
осуществляется управление защитой линий.
100
Часть I. Выбор политики защиты

; Пример 3.8. Параметры управления защитой линий ~ „ *",!
router(config)*line console 0
router(config-line)# ?
Line configuration commands:
absolute-timeout Set absolute timeout for line disconnection
access-class Filter connections based on an IP access list
exec Start an EXEC process
exec-banner Enable the display of the EXEC banner
exec-timeout Set the EXEC timeout
exit Exit from line configuration mode
full-help Provide help to unprivileged user
history Enable and control the command history function
login Enable password checking
logout-warning Set Warning countdown for absolute timeout of
line
monitor Copy debug output to the current terminal line
motd-banner Enable the display of the MOTD banner
no Negate a command or set its defaults
privilege Change privilege level for line
refuse-message Define a refuse banner
session-disconnect-warning Set warning countdown for session-timeout
session-timeout Set interval for closing connection when there is
no input traffic
telnet Telnet protocol-specific configuration
timeout Timeouts for the line
vacant-message Define a vacant banner
Использование многоуровневой системы
привилегий
Как уже говорилось выше, программное обеспечение Cisco IOS имеет по умолча-
умолчанию два режима защиты пароля — это user EXEC и privileged EXEC (режим enable).
Командам каждого из этих режимов можно назначить до 16 иерархических уровней,
что позволяет делегировать административные полномочия. Команды Cisco IOS мож-
можно связать с любым из уровней, и это обеспечивает достаточно широкие возможности
управления доступом пользователей. С помощью множества паролей можно разре-
разрешить различным группам пользователей доступ к разным наборам команд. Предопре-
Предопределенными являются следующие уровни.
• Уровень 1 предназначен для получения права доступа в режиме пользователя.
• Уровни 2—14 являются настраиваемыми уровнями привилегий пользователей.
• Уровень 15 предназначен для разрешения доступа в привилегированном режи-
режиме; тот же тип доступа открывается командой enable.
Уровень привилегий для команды задается с помощью команды privilege level
глобальной конфигурации. Использование этой команды с префиксом по возвращает
к уровню привилегий, заданному для соответствующей команды по умолчанию. Син-
Синтаксис команды следующий.
Глава 3. Защита инфраструктуры сети 101

privilege режим {level уровень команда | reset команда]
Параметры команды и их значения описываются в следующей таблице.
Синтаксис
Описание
режим Указывает режим конфигурации. Допустимыми значениями являются exec,
configure, line, interface и другие режимы конфигурации маршрутизатора
level уровень Назначает уровень привилегий от 0 до 15, связываемый с указанной командой
команда Указывает команду, с которой связывается назначаемый уровень привилегий
reset команда Восстанавливает уровень привилегий указанной команды
Примером использования команды privilege level является разрешение систем-
системному администратору применять команды мониторинга и тестирования (ping, show,
debug) путем назначения им уровня 2, а системному инженеру — все команды, как
показано на рис. 3.4.
Системный администратор
уровень 2:
show, debug, ping
Сетевой инженер
уровень 15: все команды
Маршрутизатор
Рис. 3.4. Использование команды privilege level для создания иерархии ад-
административных уровней
Соответствующим образом настроить маршрутизатор можно так, как показано в
примере 3.9.
I; Пример 3.9. Назначение уровней привилегий позволяет системному ад-
I министратору использовать команды системного монито-
г ринга и тестирования ¦!: ? \
router(config)tprivilege exec level 2 show startup-config
router(config)#privilege exec level 2 debug ip rip
router(config)tprivilege exec level 2 ping
router(config)tenable secret level 2 2kdo40d
102
Часть I. Выбор политики защиты

Вы можете установить уровень привилегий по умолчанию для линии с помощью
команды privilege level конфигурации линии, которая имеет следующий синтаксис.
privilege level уровень
Чтобы получить доступ к привилегированному уровню, можно воспользоваться
командой enable привилегированного режима линии, имеющей такой синтаксис.
router>enable уровень
Использование информационных баннеров
устройств
Вы можете использовать баннерные сообщения, информирующие о том, кому по-
позволено (и не позволено) входить в вашу сеть. Никогда не применяйте слово welcome
(добро пожаловать) в баннерах, демонстрируемых пользователям в процессе регистра-
регистрации входа в систему. Имеются прецеденты, когда по решению суда нарушители при-
признавались невиновными на основании того, что слово welcome расценивалось ими как
приглашение администратора войти в систему. Создайте сообщение, извещающее о
том, насколько серьезными для вас являются нарушения защиты. Если это возможно,
относительно текста баннерных сообщений следует получить заключение соответст-
соответствующего специалиста в области юриспруденции. Цитируйте соответствующие граж-
гражданские акты и законы, относящиеся к вопросам сетевой защиты. Простым примером
является следующий текст: "Внимание! Это частная сеть компании XYZ. Несанкцио-
Несанкционированный доступ и использование ресурсов сети будут преследоваться по закону".
Параметры команды banner
Вы можете выбрать конфигурацию, которая предполагает отображение информа-
информации об активизации линии при инициализации процесса EXEC. Баннерные сообще-
сообщения могут появляться тогда, когда пользователь входит в режим privileged EXEC, при
активизации линии, попытке связи с виртуальным терминалом или как специальные
сообщения. Чтобы создать баннерное сообщение, в режиме глобальной конфигурации
вводят следующую команду.
banner {exec | incoming | login | motd} d сообщение d
Параметры команды и их значения описываются в таблице.
В примере 3.10 указаны типы активизации линии, для которых вы можете назна-
назначить баннерное сообщение.
Синтаксис Описание
exec Говорит о том, что сообщение должно появляться при создании процесса EXEC (например,
при ашвизации консольной линии или при попытке доступа к линии vty)
incoming Свидетельствует о том, что сообщение должно появляться при попытке (асинхронного)
подключения к линии со стороны узла сети
login Говорит о том, что сообщение должно появляться во время работы программы входа в
систему перед приглашением ввести имя пользователя и пароль
motd Вызывает появление сообщения MOTD (Message of the Day - специальное сообщение).
Появляется во время входа в систему и оказывается полезным при необходимости распро-
распространения информации, касающейся всех пользователей сети
Глава 3. Защита инфраструктуры сети 103

Синтаксис Описание
d Задает символ разделителя, которым, например, может быть символ "#". В тексте бан-
нерного сообщения символ разделителя использовать нельзя
сообщение Задает текст сообщения
J Пример 3.10. Пример создания баннерного сообщения, которое будет появ-j
*): ляться при инициализации пользователем процесса EXEC J
router(config)fbanner exec $
Session activated. Enter commands at the prompt.
$
Управление доступом Telnet
Основной возможностью защиты маршрутизаторов Cisco является управление дос-
доступом Telnet к маршрутизатору. Этот тип защиты важен, поскольку с помощью Telnet
к маршрутизатору можно получить привилегированный доступ. При попытке доступа
к маршрутизатору с помощью Telnet пользователь получает приглашение маршрутиза-
маршрутизатора в пользовательском режиме. Затем пользователь может войти в привилегирован-
привилегированный режим. Рассмотрим несколько замечаний, которые следует учитывать при управ-
управлении доступом Telnet.
• Порты Telnet в маршрутизаторе называются портами виртуальных терминалов
(портами vty).
• Следует установить пароль привилегированного режима (пароль enable), огра-
ограничивающий доступ к привилегированному режиму через Telnet.
• По умолчанию пароль режима enable для маршрутизатора не установлен. При по-
попытке подключения посредством Telnet к интерфейсу, пароль для которого не уста-
установлен, вы увидите сообщение, информирующее о том, что требуется пароль, но он
не был установлен. Консольный порт при этом является единственным портом, по-
позволяющим доступ в привилегированном режиме, когда пароль vty не установлен.
• Программное обеспечение Cisco IOS использует один и тот же пароль для пор-
портов vty и консоли.
• Необходимо ограничить доступ Telnet с помощью команд access-class и
access-list, в частности необходимо сделать следующее:
• ограничить доступ Telnet источникам с определенными IP-адресами;
• определить стандартный список доступа с разрешенными IP-адресами;
• использовать список доступа для линий vty с помощью команды access-class.
• Необходимо настроить все заданные конфигурацией порты vty. Порты с номерами
0—4 имеются по умолчанию, но можно назначить и большее число портов.
• Следует ограничить доступ к порту aux, заблокировать его или вообще отклю-
отключить с помощью команды no exec в режиме конфигурации линии.
• Нужно отключить команды, подобные ip alias, no cdp running и no cdp
enable, чтобы предотвратить возможность доступа нарушителей к маршрутиза-
маршрутизатору через порты vty. Подробную информацию о командах, которые следует
отключить в целях защиты от атак доступа, вы найдете в главе 7.
104 Часть I. Выбор политики защиты

• Необходимо заблокировать запросы отклика с помощью команд no service
tcp-small-servers и по service udp-small-servers.
• Следует установить ограничения на типы соединений (secure shell, LAT, RCP),
которые могут быть открыты к маршрутизатору, используя для этого команды
transport input.
Примеры конфигурации Telnet
Рассмотрим примеры конфигурации, обеспечивающие защиту доступа Telnet. В
примере 3.11 показано, как установить пароль начала сеанса (режима пользователя)
для линий vty с номерами 0-4.
Пример 3.11. Установка пароля начала сеанса {режим пользователя) для I
Шэр 3.11. Устовка проля начала сеанса (режим пользователя) для
Щ:0ф:-ттш Щ&ютщди-О-А ^Э^"Мр^; ^i^l^rvfjsM*- Л%-.\-.""г\а
router(config)fline vty 0 4
router(config-line)Ilogin
router(config-line)Ipassword Shakespeare
В примере 3.12 устанавливается пароль маршрутизатора для привилегированного
режима — такой пароль пользователь должен вводить после получения доступа Telnet
к линии vty. В примере показан фрагмент сеанса Telnet. При этом отображается бан-
нер MOTD. Пользователь вводит пароль Shakespeare, требуемый для начала сеанса
Telnet. Затем он вводит команду enable и получает приглашение ввести пароль режи-
режима enable. После этого пользователь вводит соответствующий пароль, а именно пароль
whatlight, и получает доступ в привилегированном режиме.
Г
Пример 3.12. Использование пароля привилегирова
router(config)tenable password whatlight
C:\>telnet 10.1.1.2
"MOTD Banner"
User Access Verification
Password: Shakespeare
router>enable
Password: whatlight
router!
Рассмотрим теперь пример 3.13, в котором демонстрируется использование списка
доступа, разрешающего доступ к линиям vty с номерами 0—4 только системе админи-
администратора с адресом 10.1.1.4. Обратите внимание на то, что применение списка доступа
к линиям vty обеспечивается командой access-class.
Пример 3.13- Список доступа 21 разрешает доступ к линиям vty админи- - Л|
^Щ^
router(config)#access-list 21 permit 10.1.1.4
router(config)Iline vty 0 4
router (config-line) I access-class 21 in
Глава З. Защита инфраструктуры сети 105

Управление доступом SNMP
Средства SNMP могут использоваться нарушителями для внедрения в сеть, если эти
средства не настроены должным образом. Вы можете даже не знать о том, что кто-то по-
получает доступ к базам MIB (Management Information Base — информационная база управ-
управления) с помощью средств мониторинга SNMP или осуществляет захват сообщений
SNMP вашего сетевого оборудования. Для защиты инфраструктуры сети очень важно кон-
контролировать доступ SNMP. Протокол SNMP допускает различные уровни доступа: доступ
только для чтения (RO) позволяет читать базы MIB, доступ чтения/записи (RW) позволяет
как читать, так и записывать данные, а доступ записи (W) — только записывать данные.
Обзор SNMP
SNMP (Simple Network Management Protocol — простой протокол сетевого управ-
управления) представляет собой протокол прикладного уровня, обеспечивающий связь ме-
между диспетчерами и агентами SNMP.
Система SNMP состоит из следующих трех компонентов (рис. 3.5).
• Управляемые устройства типа маршрутизаторов и коммутаторов.
• Агенты SNMP и базы MIB, в частности базы RMON MIB (Remote MONitoring
MIB — база MIB удаленного мониторинга), размещенные в управляемых уст-
устройствах.
• Приложение-диспетчер SNMP типа CiscoWorks 2000, которое взаимодействует с
агентами и управляемыми устройствами с целью сбора статистических данных
и предупреждений.
Замечание
Управляющее приложение SNMP (диспетчер), вместе с компьютером, на котором оно
выполняется, называется системой сетевого управления (Network Management Sys-
System — NMS).
Сетевое управление SNMP использует следующие функции агента SNMP.
• Доступ к переменным MIB. Эта функция инициализируется агентом SNMP в
ответ на запрос NMS. Агент извлекает значение запрашиваемой переменной
MIB и возвращает его системе NMS. Доступ систем NMS должен контролиро-
контролироваться, чтобы не допустить доступ нарушителей к базам MIB с целью выясне-
выяснения конфигурации и состояния устройств.
NMS
Диспетчер SMNP Агент SMNP
Базы управления SMNP
Рис. 3.5. Компоненты системы SNMP
• Установка переменных MIB. Эта функция инициализируется агентом SNMP в
ответ на сообщение NMS. Агент SNMP изменяет значение переменной MIB на
106 Часть I. Выбор политики защиты

значение, указанное NMS. Доступ должен контролироваться, чтобы не дать на-
нарушителям возможности изменить конфигурацию устройств.
• Прерывания SNMP. Эта функция используется для извещения NMS о том, что в
системе агента произошло важное событие. Когда в результате наступления опре-
определенного события генерируется прерывание, агент SNMP посылает сообщение
прерывания SNMP всем станциям NMS, указанным в списке получателей такого
сообщения. Доступ должен контролироваться, чтобы не дать сетевым нарушите-
нарушителям возможности перехватить информацию о событиях оборудования.
• Групповые строки SNMP. Групповые строки SNMP идентифицируют доступ к
объектам MIB и функционируют подобно встроенным паролям.
Извещения SNMP
Система может генерировать извещения SNMP двух типов — прерывания и информа-
информационные запросы. Прерывания обеспечивают ограниченную надежность ввиду того, что от
получателя не требуется подтверждение получения прерывания. Отправитель не может оп-
определить, было ли получено отправленное прерывание. Информационные запросы более на-
надежны, поскольку в этом случае агент SNMP посылает запрос, который должен быть под-
подтвержден диспетчером SNMP посредством возвращения PDU (Protocol Data Unit — про-
протокольная единица обмена). Если диспетчер не получит информационный запрос, он не
отправит ответ. Если отправитель не получит ответ, информационный запрос можно по-
послать снова. Поэтому вероятность того, что соответствующая информация достигнет своего
адресата, оказывается выше.
Поддерживаемые версии SNMP
Программное обеспечение Cisco IOS версии 12.0 поддерживает следующие
версии SNMP.
• SNMPvl, принятый в качестве стандарта Internet и определенный в документе
RFC 1157.
• SNMPv2C (Classic), состоящий из следующих частей:
• SNMPv2 — версия 2 протокола SNMP, принятая в качестве проекта стан-
стандарта Internet и определенная в документах RFC 1902-1907;
• SNMPv2C — распределенная административная структура для SNMPv2,
принятая в качестве экспериментального протокола Internet и определенная
в документе RFC 1901.
SNMPv2C заменяет административную и защитную структуру SNMPv2Classic на
распределенную административную структуру, во многом сохраняя средства массового
поиска и усовершенствованного контроля ошибок SNMPv2Classic.
Как SNMPvl, так и SNMPv2C используют распределенные (т.е. доступные в сети)
формы защиты. Совокупность диспетчеров, имеющих право доступа к базе MIB агента,
определяется списком доступа с IP-адресами и паролями. Поддержка SNMFV2C включает
механизм массового поиска и возвращение управляющим станциям более подробных со-
сообщений об ошибках.
Настройка агента SNMP
Агент SNMP должен быть настроен так, чтобы имелась возможность использовать
ту версию SNMP, которую поддерживает NMS. Один агент может связываться со
Глава 3. Защита инфраструктуры сети 107

многими системами NMS, поэтому программное обеспечение Cisco IOS можно на-
настроить так, чтобы при связи с одними станциями управления использовался прото-
протокол SNMPvl, а с другими — протокол SNMPv2.
Чтобы настроить SNMP в маршрутизаторе, необходимо определить связь между
NMS и соответствующим агентом. Агент SNMP имеет переменные MIB, значения ко-
которых система NMS может запросить или изменить. Система NMS может получать
данные от агента и сохранять их в системе агента. Агент собирает данные баз MIB,
хранящих информацию о параметрах сетевых устройств. Агент может также отвечать
на запросы системы NMS о получении или изменении данных.
Управление доступом SNMP с помощью групповых строк
Существует возможность настройки групповых строк SNMP, определяющих связи
между диспетчером SNMP и соответствующим агентом. Групповые строки подобны
паролям, разрешающим доступ к агенту в маршрутизаторе. Можно указать один или
несколько следующих объектов, связываемых со строкой, контролирующей доступ.
• Список доступа с IP-адресами систем NMS, которым разрешается использовать
данную групповую строку для получения доступа к агенту.
• Представление базы MIB, определяющее набор всех объектов MIB, доступных
системам данной группы.
• Установка доступа чтения/записи или только чтения для объектов MIB, дос-
доступных системам данной группы.
Чтобы определить групповую строку, используйте следующую команду в режиме
глобальной конфигурации.
router(config)fsnmp-server community строка [view имя-представления] [го | rw] [число]
Поле число должно содержать необязательный номер списка доступа. В команде snmp-
server community можно использовать стандартные списки доступа IP (Internet Proto-
Protocol — протокол межсетевого взаимодействия) или стандартные списки доступа IP с
расширенным диапазоном. Можно определить несколько групповых строк, а для их
удаления нужно применить команду no snmp-server community.
Непривилегированный доступ SNMP
Для непривилегированного доступа SNMP к маршрутизаторам используется пара-
параметр го команды snmp-server community. Показанные в примере 3.14 команды кон-
конфигурации разрешают агенту в маршрутизаторе принимать только запросы get-request
и get-next-request SNMP, посылаемые с помощью групповой строки secure.
бЩения SNMP, посьтаемые
и
router (config) I snmp-server community secure ro
Привилегированный доступ SNMP
Для привилегированного доступа SNMP к маршрутизаторам используется пара-
параметр rw команды snmp-server community. Показанные в примере 3.15 команды кон-
конфигурации разрешают агенту в маршрутизаторе использовать только сообщения set-
request SNMP, посылаемые с помощью групповой строки semisecure.
108 Часть I. Выбор политики защиты
азрешение использоват^

Шримёр 3.1?> Разрешение использовать сообщения SNMP,
router(config)#snmp-server community semi secure rw
Доступ SNMP по спискам доступа
Можно указать список хостов с конкретными IP-адресами, которым разрешается
посылать сообщения маршрутизатору. Для этого используется параметр access-list
команды snmp-server community, который можно применять как в привилегирован-
привилегированном, так и в непривилегированном режимах. Показанные в примере 3.16 команды
конфигурации разрешают доступ к маршрутизатору в привилегированном режиме
SNMP только узлам с адресами 10.1.1.4 и 10.1.1.5.
*г^тгж*шгг:ш?шгтрш^-
ример 3.16. Разрешение доступа в прйвйл
router(config)iaccess-list I permit 10.1.1.4
router (config)jtaccess-list 1 permit 10.1.1.5
router {config)# snmp-server community private rw 1
Разрешение прерываний и запросов SNMP только
заданным системам
Вы должны быть уверены, что конфигурация маршрутизатора позволит отсылать
прерывания SNMP только узлам, которые назначены вами для выполнения функций
NMS. Прерывание представляет собой сообщение, посылаемое агентом SNMP систе-
системе NMS, консоли или терминалу; оно информирует о наступлении некоторого важ-
важного события, например о выполнении определенных условий или достижении неко-
некоторой пороговой величины.
Настройка маршрутизатора для отсылки прерываний SNMP только заданным уз-
узлам NMS осуществляется с помощью команды snmp-server host узел trap, а на-
настройка маршрутизатора для отсылки информационных запросов SNMP только за-
заданным узлам NMS — с помощью команды snmp-server host узел informs.
Команда snmp-server enable traps предназначена для того, чтобы дать общее разреше-
разрешение использовать механизм генерирования прерываний и информационных запросов.
Некоторые прерывания и информационные запросы не контролируются командой
snmp-server enable traps. Эти элементы системы либо активизированы по умолча-
умолчанию, либо управляются другими командами. Например, при открытии и закрытии
интерфейса соответствующие прерывания линии SNMP генерируются по умолчанию.
Для интерфейсов, которые часто открываются и закрываются (например, для интер-
интерфейса ISDN), генерирование соответствующих прерываний может оказаться нежела-
нежелательным. Чтобы отменить генерирование прерываний, используйте команду no snmp
trap link-status в режиме конфигурации интерфейса.
Кроме того, можно указать значения, отличные от значений по умолчанию, для
числа попыток, интервала ретрансмиссии, максимального числа отложенных запросов
и IP-адреса источника. Для этого используются дополнительные команды snmp-server
informs и snmp-server trap-source в режиме глобальной конфигурации.
Глава 3. Защита инфраструктуры сети 109

Защита связи между
маршрутизаторами
Связь между маршрутизаторами можно использовать для прослушивания, манипу-
манипуляции данными, воспроизведения сеансов связи и изменения параметров маршрути-
маршрутизации. Примерами могут быть обновления параметров маршрутизации, передача фай-
файлов маршрутизатора по протоколу TFTP и доступ к маршрутизатору по протоколу
HTTP. Защита связи между маршрутизаторами может быть обеспечена так, как пред-
предлагается в следующих разделах, где будут рассмотрены следующие вопросы:
• аутентификация протокола маршрутизации;
• защита файлов конфигурации маршрутизатора;
• управление потоком данных с помощью фильтров;
• запрет обработки обновлений маршрутизации;
• входные сетевые фильтры;
• пример политики защиты, предполагающей контроль потока данных;
• управление доступом HTTP к маршрутизатору.
Аутентификация протокола маршрутизации
Протоколы маршрутизации уязвимы в отношении прослушивания и фальсификации
обновлений маршрутизации. Например, протокол маршрутизации RIP можно фальсифи-
фальсифицировать, имея правильную контрольную сумму любого действительного заголовка IP над
произвольным обновлением маршрутизации; контрольная сумма UDP при этом не ис-
используется. Программное обеспечение Cisco IOS поддерживает аутентификацию обновле-
обновлений маршрутизации, чтобы обнаружить несанкционированные или фальсифицированные
сообщения маршрутизации из неизвестных источников. Аутентификация протокола мар-
маршрутизации называется также аутентификацией соседнего узла.
Если в маршрутизаторе предусмотрена аутентификация соседнего узла, он выпол-
выполняет аутентификацию источника для всех пакетов обновления маршрутизации. Для
этого применяется процедура обмена ключами аутентификации или подписями, на-
настраиваемыми как в посылающем, так и в принимающем маршрутизаторах. На
рис. 3.6 показана схема процесса аутентификации соседнего узла, когда предполагает-
предполагается, что маршрутизаторы А и В настроены на выполнение соответствующей функции.
Маршрутизатор А подписывает пакет обновления маршрутизации и посылает пакет
маршрутизатору В. Маршрутизатор В проверяет подпись аутентификации, чтобы убе-
убедиться в том, что обновление не было изменено в пути.
Cisco IOS версии 12.0 предлагает два типа аутентификации соседнего узла — открытую
аутентификацию и аутентификацию MD5. В обоих случаях аутентификация выполняется
одинаково, с той лишь разницей, что при использовании MD5 пересылается "профиль"
ключа аутентификации, а не сам ключ. Профиль сообщения создается с помощью ключа
и сообщения, но сам ключ непосредственно не пересылается, что исключает возможность
его перехвата. Открытая аутентификация предполагает пересылку ключа аутентификации
по сети. Настройку средств аутентификации MD5 мы рассмотрим в этой главе немного
позже, а алгоритм MD5 будет подробно рассматриваться в главе 13.
110 Часть I. Выбор политики защиты

Маршрутизатор А ^~—-ч ^/ Маршрутизатор В
подписывает обновление проверяет подпись
маршрутизации
Подпись
Обновление маршрутизации
Рис. 3.6. Аутентификация соседнего маршрутизатора с целью защиты обнов-
обновлений протокола маршрутизации
Замечание
Открытая аутентификация не рекомендуется для использования в качестве состав-
составляющей стратегии сетевой защиты. Главной областью ее применения является защи-
защита от случайных изменений маршрутизации. Для защиты сетевой инфраструктуры ре-
рекомендуется аутентификация MD5.
Открытая аутентификация
Каждая пара соседних маршрутизаторов должна использовать обший ключ аутен-
аутентификации. Этот ключ задается в каждом маршрутизаторе в процессе его настройки.
Некоторые протоколы позволяют определить множество ключей, и тогда каждый
ключ должен иметь свой номер.
Вообще говоря, когда посылается обновление маршрутизации, выполняется сле-
следующая последовательность операций.
1. Маршрутизатор посылает соседнему маршрутизатору обновление маршрутизации
вместе с ключом и соответствующим номером ключа. В протоколах, допускаю-
допускающих использование только одного ключа, номер ключа всегда равен 0.
2. Принимающий (соседний) маршрутизатор сравнивает полученный ключ с клю-
ключом, хранимым в памяти.
3. Если два ключа совпадают, адресат принимает пакет обновления маршрутизации.
В противном случае пакет обновления отвергается.
В рамках программного обеспечения Cisco IOS поддерживаются следующие прото-
протоколы маршрутизации с открытой аутентификацией пакетов:
• агент сервера DRP;
• протокол IS-IS (Intermediate System to Intermediate System — протокол связи
между промежуточными системами);
• OSPF (Open Shortest Path First — первоочередное открытие кратчайших маршрутов);
• RIP версии 2 (Routing Information Protocol — протокол маршрутной информации).
Аутентификация MD5
Аутентификация MD5 выполняется аналогично открытой аутентификации, за ис-
исключением того, что ключ по линии не пересылается. Вместо этого маршрутизатор
Глава 3. Защита инфраструктуры сети 111

использует алгоритм MD5, чтобы создать профиль ключа (называемый также хэш-
кодом). Профиль ключа пересылается вместо самого ключа, и это гарантирует, что
никто не сможет перехватить ключ во время пересылки, а значит, и не сможет изме-
изменить или создать новое сообщение обновления маршрутизации.
Программное обеспечение Cisco IOS Software поддерживает использование аутен-
аутентификации MD5 обновлений маршрутизации для следующих протоколов:
• протокол BGP (Border Gateway Protocol — пограничный межсетевой протокол);
• протокол EIGRP (Enhanced Interior Gateway Routing Protocol — частный прото-
протокол внутреннего шлюза, используемый маршрутизаторами Cisco);
• OSPF;
• RIP версии 2.
Аутентификация MD5 для EIGRP
Аутентификация MD5 для протокола маршрутизации EIGRP обеспечивает защиту об-
обновлений маршрутизации. Профиль ключа MD5 в пакете EIGRP исключает возможность
использования несанкционированных или фальсифицированных сообщений маршрутиза-
маршрутизации из неизвестных источников. Аутентификация маршрутов EIGRP использует MD5 для
идентификации обновлений маршрутизации в рамках протокола маршрутизации EIGRP.
Перед тем как воспользоваться возможностью аутентификации маршрутов EIGRP,
необходимо активизировать EIGRP. Для настройки средств аутентификации пакетов
EIGRP, выполните следующие шаги в режиме конфигурации интерфейса.
1. Активизируйте аутентификацию MD5 пакетов IP, использующих протокол EIGRP, с
помощью команды ip authentication mode eigrp автоноиная-систет md5.
2. Активизируйте аутентификацию пакетов IP, использующих протокол EIGRP, с
помощью команды ip authentication key-chain eigrp автононная-систена цепоч-
цепочка-ключей.
3. Перейдите в режим глобальной конфигурации с помощью команды exit.
4. Определите цепочку ключей с помощью команды key chain имя-цепочки. Исполь-
Используйте имя, заданное в п. 2.
5. Определите номер ключа с помощью команды key число в режиме конфигурации
цепочки ключей.
6. В режиме конфигурации цепочки ключей определите строку ключа с помощью
команды key-string текст.
7. В качестве опции с помощью команды accept-lifetime начало {infinite | конец \
duration секунды} можно указать интервал времени, в течение которого можно полу-
получить ключ.
8. В качестве опции с помощью команды send-lifetime начало {infinite | конец \
duration секунды} можно указать интервал времени, в течение которого можно
отослать ключ.
Каждый ключ имеет свой идентификатор (определенный командой key число),
хранимый локально. Комбинация идентификатора ключа и интерфейса, связываемого
с сообщением, уникальным образом характеризует алгоритм аутентификации и ис-
используемый ключ аутентификации MD5.
112 Часть I. Выбор политики защиты

Можно разместить множество ключей с разными сроками их использования. Но неза-
независимо от числа имеющихся действительных ключей посылается только один пакет аутен-
аутентификации. Программное обеспечение проверяет номера ключей по порядку, от наи-
наименьшего к наибольшему, и использует первый подходящий ключ. Обратите внимание на
то, что маршрутизатору необходимо знать время (см. главу "Performing Basic System Man-
Management" руководства Configuration Fundamentals Configuration Guide).
Пример аутентификации маршрутов EIGRP
Рассмотрим пример 3.17, в котором выполняется настройка параметров аутенти-
аутентификации маршрутов EIGRP с помощью MD5 (см. также рис. 3.6).
Пример 3.17. Аутентификация маршрутов EIGRP с помощью]
! Router A
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 cbobw
key chain cbobw
key 1
key-string 0987654321
accept-lifetime infinite
send-lifetime Jan 01 2001 infinite
key 2
key-string 1234567890
accept-lifetime infinite
send-lifetime Jan 01 2002 infinite
exit
!
router eigrp 200
network 10.1.1.0
network 10.1.2.0
! Router В
ip authentication mode eigrp 1 md5
ip authentication key-chain eigrp 1 cpw
key chain cpw
key 1
key-string 0987654321
accept-lifetime infinite
send-lifetime 04:00:00 Jan 01 2001
04:00:00 Jan 01 2002
key 2
key-string 1234567890
accept-lifetime infinite
send-lifetime Jan 01 2002 infinite
exit
router eigrp 200
network 10.2.1.0
network 10.2.2.0
В этом сценарии для аутентификации обновлений маршрутизации EIGRP исполь-
используется MD5. Маршрутизатор А принимает пакет EIGRP и пытается проверить его
Глава 3. Защита инфраструктуры сети 113

профиль MD5, применяя ключ 1 или 2. Другие пакеты отвергаются. Маршрутизатор А
отправляет все пакеты EIGRP с ключом 2. Маршрутизатор В принимает ключ 1 или
2, но отправляет ключ 1.
Внимание!
Как любые ключи паролей и другие секреты защиты, ключи аутентификации соседних
маршрутизаторов настоятельно рекомендуется хранить в тайне. От этого напрямую зави-
зависит надежность аутентификации. Кроме того, при управлении маршрутизатором средства-
средствами SNMP не забывайте о риске, связанном с пересылкой ключей в открытом виде.
Защита файлов конфигурации маршрутизатора
Если маршрутизатор регулярно использует файлы конфигурации с сервера TFTP
(Trivial File Transfer Protocol — простейший протокол передачи данных) или МОР
(Maintenance Operations Protocol — протокол операций сопровождения), то любой, кто
имеет доступ к такому серверу, может изменить файлы конфигурации маршрутизато-
маршрутизатора, как показано на рис 3.7. Обмен файлами TFTP уязвим в отношении их перехвата
на пути между клиентами и серверами TFTP.
TFTP
Маршрутизатор А ^ •"' Сервер TFTP
Рис. 3.7. Уязвимость файлового обмена TFTP
Важно обеспечить защиту серверов TFTP, на которых хранятся файлы конфигура-
конфигурации маршрутизаторов, ограничив доступ к таким серверам с учетом следующего.
• Файлы конфигурации могут храниться на сервере TFTP, а также загружаться на
него извне.
• Протокол TFTP не является защищенным, а значит, не предполагает использо-
использования пароля.
• Каждый, кто имеет доступ к серверу TFTP, может изменить файл конфигура-
конфигурации маршрутизатора.
• Требуется надежная защита хоста.
• Для копирования параметров конфигурации маршрутизаторов Cisco в сети можно
использовать защищенное дистанционное копирование (Kerberized rep, см. главу 4).
• Серверы TFTP могут быть обнаружены с помощью программ сканирования
портов. Здесь может оказаться полезным вручную запрещать или разрешать ис-
использование программного обеспечения сервера TFTP .
Ограничение использования SNMP с серверами TFTP
Доступ к серверам TFTP, используемым для сохранения и загрузки файлов кон-
конфигурации по протоколу SNMP, можно ограничить путем создания соответствующих
списков доступа. Используйте команду snmp-server tftp-server-list число, чтобы ог-
114 Часть I. Выбор политики защиты

раничить набор серверов TFTP, используемых для копирования файлов конфигура-
конфигурации по протоколу SNMP, серверами из списка доступа. Маршрутизаторы Cisco под-
поддерживают загрузку конфигурации и загрузочных модулей через FTP, что может ока-
оказаться предпочтительнее использования TFTP.
Управление потоком данных с помощью
фильтров
Списки доступа являются мощным средством для контроля потока обновлений
маршрутизации и обычных данных маршрутизатора. Структура списков доступа и их
настройка подробно рассмотрены в приложении В, "Создание стандартных и расши-
расширенных списков доступа". Здесь мы сформулируем следующие рекомендации, касаю-
касающиеся использования списков доступа для контроля трафика.
• Используйте списки доступа для того, чтобы заблокировать или разрешить тра-
трафик на уровне интерфейса маршрутизатора.
• Списки доступа не идентифицируют индивидуальных пользователей, а фильт-
фильтруют поток данных на основе информации, содержащейся в пакетах, такой как
адрес получателя или порта назначения, адрес источника или соответствующего
порта, протокол верхнего уровня.
Фильтрация сетей в пакетах обновления маршрутизации
Фильтрация сетей в пакетах обновления маршрутизации помогает защитить сеть
следующим образом.
• Усиливает защиту. Если сеть не является широко известной, неизвестны и маршру-
маршруты в такой сети, поэтому нарушители будут иметь больше проблем при доступе к
ней. Таким образом, если защита маршрутизатора оказывается важным делом, име-
имеет смысл ограничить распространение информации о сетевых маршрутах.
• Повышает устойчивость сети. Фильтрация сетей в пакетах обновления маршру-
маршрутизации обеспечивает защиту от получения ложной информации в обновлениях
маршрутизации из-за неправильной конфигурации или преднамеренных дейст-
действий, ведущих к возникновению проблем маршрутизации.
В следующих четырех разделах описываются сценарии и методы фильтрации об-
обновлений маршрутизации. Схема, представленная на рис. 3.8, применима к первым
двум сценариям. В этом случае списки доступа связываются с сетевыми интерфейса-
интерфейсами с помощью команды distribute-list и оказываются полезными для фильтрации
как поступающих, так и исходящих обновлений маршрутизации.
Фильтрация маршрутов
~* в исходящих обновлениях
10.2.0.0 ^—-Г ^ ^ 10.1.2.0
Маршрутизатор А
Фильтрация входящих
обновлений маршрутизации
Рис. 3.8. Фильтрация обновлений маршрутизации с помощью списков доступа
Глава 3. Защита инфраструктуры сети 115

Запрет объявления маршрутов в обновлениях маршрутизации
Чтобы не дать возможности потенциальным нарушителям выяснить конфигурацию
вашей сети, не следует "рекламировать" внутренние сети, которые должны быть доступны
только В1гутренним пользователям. В сети реального предприятия некоторые подразделе-
подразделения — такие как отдел сбыта компании XYZ — не заинтересованы в объявлении инфор-
информации о внутренних сетях внешним устройствам, находящимся за пределами сети подраз-
подразделения. Запретить объявление соответствующих сетей в обновлениях маршрутизации
можно с помощью списков доступа, как показано в примере 3.18.
Пример 3.18 Запрет ббъ^вления
router(config)faccess-list 45 deny 10.1.2.0 0.0.0.255
router(config)#access-list 45 permit any any
router(config)Irouter eigrp 200
router(config-router)#distribute-list 45 out serialO
С помощью этих команд создается конфигурация списка доступа, исключающая
возможность объявления обновлений, исходящих от сети 10.1.2.0, и требуется приме-
применение этого списка доступа к исходящему трафику EIGRP интерфейса serialO.
Запрет обработки маршрутов, указанных
в обновлениях
Следует запретить использовать адреса сетей, указываемые в обновлениях маршру-
маршрутизации. Запрет обработки таких сетей не дает возможности навязать системе мар-
маршруты, которые могут оказаться фиктивными. Фильтры списка доступа разрешают
использовать обновления маршрутизации, исходящие только от маршрутизаторов се-
сети, информация о которых имеется в таблице маршрутизации данного маршрутизато-
маршрутизатора. Эта возможность неприменима при работе с протоколами OSPF и IS-IS. Запрет
обработки маршрутов выполняется с помощью команд, показанных в примере 3.19.
router(config)#access-list 46 permit 10.2.0.0 0.0.255.255
router(config)frouter eigrp 200
router(config-router)idistribute-list 46 in serialO
С помощью этих команд создается конфигурация списка доступа, допускающая
возможность использования обновлений, исходящих только от надежной сети 10.2.0.0,
и указывается необходимость применения этого списка доступа к входящему трафику
интерфейса serialO.
Запрет движения обновлений маршрутизации
через интерфейс
Чтобы исключить возможность получения динамической информации о маршру-
маршрутах другими маршрутизаторами локальной сети, можно запретить движение сообще-
сообщений маршрутизации через интерфейс маршрутизатора. Эта возможность касается всех
116 Часть I. Выбор политики защиты

протоколов маршрутизации IP, кроме BGP (Border Gateway Protocol — пограничный
межсетевой протокол) и EGP (Exterior Gateway Protocol — протокол внешней маршру-
маршрутизации). Запретить пересылку обновлений маршрутизации через интерфейс кон-
конкретного маршрутизатора можно с помощью команды passive-interface тип число.
При этом интерфейс по-прежнему будет проверять (принимать) динамическую ин-
информацию о маршрутизации, которая будет поступать на его вход.
Фильтрация источников информации о маршрутизации
Использование параметра административной дистанции позволяет маршрутизатору
интеллектуально подходить к вопросу о различиях между источниками информации о
маршрутизации. Административная дистанция представляет собой рейтинг надежно-
надежности источника информации о маршрутизации, которым может быть маршрутизатор
или группа маршрутизаторов. Маршрутизатор всегда будет выбирать маршрут, прото-
протокол маршрутизации которого будет характеризоваться наименьшей административной
дистанцией. В большой сети некоторые протоколы маршрутизации и некоторые мар-
маршрутизаторы, как источники информации о маршрутизации, могут быть более надеж-
надежными, чем другие. Источники информации о маршрутизации фильтруются с помо-
помощью команды distance вес [адрес маска [номер-списка-доступа \ имя]] [ip].
Входные сетевые фильтры
С помощью списков доступа можно фильтровать пакеты, поступающие от внут-
внутренних сетей, чтобы не допустить внешних атак с использованием фальсифицирован-
фальсифицированных адресов. Списки доступа должны запрещать пакетам, приходящим извне, иметь
адреса внутренних источников вашей сети. Убедитесь в том, что фильтр применяется
только в маршрутизаторах периметра сети, поскольку фильтры замедляют работу
маршрутизаторов. Рассмотрим примеры использования входных сетевых фильтров в
соответствии со схемой, показанной на рис. 3.9. Эти примеры показывают, что при
использовании списков доступа для создания входных фильтров исключается возмож-
возможность фальсификации адресов и контролируется доступ к внутренним сетям и узлам.
Фильтрация
источника 10.1.2.0
10.1.2.0
Попытки фальсификации
адреса 10.1.2.0
Рис. 3.9. С помощью входных сетевых фильтров, использующих спи-
списки доступа, исключается возможность фальсификации адре-
адресов и контролируется доступ к внутренним сетям и узлам
Необходимо выбрать такую конфигурацию маршрутизатора, чтобы от внешних ис-
источников не принимались никакие внутренние сетевые адреса, а также адреса, заре-
зарезервированные в документе RFC 1918 (адреса типа 192.168, 10.0 или 172.). Команда из
примера 3.20 конфигурирует список доступа таким образом, чтобы пакеты с фальси-
Глава 3. Защита инфраструктуры сети 117

фицированным адресом внутренней сети 10.1.2.0 отвергались, а соответствующие по-
попытки фальсификации регистрировались.
Пример 3.20. Конфигурация списка доступа, позволяющая отвергать
router(config)#access-list 102 deny ip 10.1.2.0 0.0.0.255 any log
Команда из примера 3.21 с помощью опции established конфигурирует список
доступа таким образом, что допускается только разрешенный входящий трафик; соот-
соответствующее событие распознается по наличию в заголовке TCP установленных битов
АСК или RST.
> Пример 3.21. Конфигурация списка доступа, допускающая только '
разрешенные входящие связи :
router(config)#access-list 102 permit top 10.1.2.0 0.0.255.255
10.16.2.0 0.0.0.255 established
Команды из примера 3.22 связывают список доступа с входной частью интерфейса.
Пример 3.22. Применение списка доступа к входной части интерфейса
router(config)#interface serial 0
router(config-if)tip access-group 102 in
Пример политики контроля потока данных
Списки доступа должны быть настроены в соответствии с политикой защиты сети.
Приведем простой пример политики защиты, предполагающей контроль трафика в
сети, как показано на рис. 3.10.
• Разрешается весь исходящий трафик.
• Разрешается входящий трафик, установленный изнутри, чтобы предотвратить
возможность фальсификации адресов.
• Разрешаются входящие ответы на установленный исходящий трафик.
• Запрещается какой-либо иной входящий трафик и регистрируются все попытки
несанкционированного доступа.
Команды из примера 3.23 реализуют указанную политику защиты.
Пример 3.23. Реализация политики защиты, предполагающей контроль
потока данных в сети ;'V'^;^*/^--:^»;f-i ^.-; ¦-¦¦.-:<¦?¦¦•. .- . -:!
router(config)#access-list 47 permit 10.1.2.0 0.0.0.255
router(config)iaccess-list 103 permit tcp any any established
router(config)iaccess-list 103 deny ip any any log
router(config)jfinterface serial 0
router(config-if)#ip access-group 47 out
router (config-if) lip access-group 103 in
118 Часть I. Выбор политики защиты

Разрешается весь исходящий трафик
Разрешается входящий
трафик, установленный изнутри
.1.2.0
Запрещается входящий трафик любого другого вида
Рис. 3.10. Использование списка доступа для контроля трафика
Управление доступом HTTP к маршрутизатору
Программное обеспечение Cisco IOS предлагает сервер HTTP (это касается версии
11.0F) и более поздних), что делает процесс настройки более простым, но открывает
новые бреши в системе защиты. Сервер HTTP по умолчанию отключен. Для того что-
чтобы передать команды Cisco IOS маршрутизатору, можно использовать средство обзора
Web (броузер), как показано на рис. 3.11.
Трафик HTTP
10.1.1.4 V Порт 80 TCP
Рис. 3.11. Контроль доступа HTTP к маршрутизатору с помощью
списков доступа
Рассмотрим следующие ключевые моменты, касающиеся доступа HTTP.
• По умолчанию доступ HTTP не используется.
• Можно определить список доступа, где указываются адреса, которым разреша-
разрешается иметь доступ к ТСР-порту 80 на маршрутизаторе.
• HTTP допускает использование парольной защиты подобно доступу к кон-
консоли или vty.
При использовании программного обеспечения Cisco IOS ClickStart, маршрутиза
торы Cisco 1003, Cisco 1004 и Cisco 1005 можно настраивать с помощью броузера.
Можно осуществлять мониторинг любого маршрутизатора, а также менять его кон-
конфигурацию, используя интерфейс броузера Cisco Web и соответствующую команду ip
http server глобальной конфигурации.
С помощью команды ip http port глобальной конфигурации укажите порт, кото-
который будет использоваться программным обеспечением Cisco IOS ClickStart или ин-
Глава 3. Защита инфраструктуры сети 119

терфейсом броузера Cisco Web (например, порт 8080). Чтобы указать порт, используе-
используемый по умолчанию (порт 80), воспользуйтесь этой же командой с префиксом по.
Для того чтобы связать список доступа с сервером HTTP, использующим программное
обеспечение Cisco IOS ClickStart или интерфейс броузера Cisco Web, воспользуйтесь ко-
командой ip http access-class глобальной конфигурации. Для отмены действия списка дос-
доступа, используйте форму по этой команды. Номер стандартного списка доступа IP из диа-
диапазона 0—99 присваивается с помощью стандартной команды access-list. Использование
списка доступа задается командой ip http access-class, как показано в примере 3.24.
имер 3.24. Назначение списка Доступа с помощью команды ip i
JUL^,Jj%Sb.
¦:тш
router(config)#access-list 52 permit 10.1.1.4 0.0.0.0
router(config)jfip http access-class 52
Команда ip http authentication глобальной конфигурации используется для того,
чтобы указать метод аутентификации пользователей сервера IP HTTP, обеспечиваю-
обеспечивающий наилучшую защиту, когда вам необходим сервер HTTP маршрутизатора. Приве-
Приведем синтаксис этой команды.
ip http authentication {aaa | enable | local | tacacs}
Параметры команды представлены в следующей таблице.
Синтаксис Описание
ааа Активизирует выполнение аутентификации средствами ААА
enable Активизирует аутентификацию с помощью пароля enable, что является методом аутентифика-
аутентификации пользователей сервера HTTP, принятым по умолчанию
local Активизирует аутентификацию с помощью локальной базы данных пользователей, опреде-
определенной в маршрутизаторе Cisco или сервере доступа
tacacs Активизирует аутентификацию средствами TACACS (Terminal Access Controller Access Control
System - система управления доступом к контроллеру терминального доступа) или XTACACS
Защита коммутаторов Ethernet
В этом разделе объясняется, как правильно настроить коммутаторы Ethernet серии
Cisco Catalyst, обеспечив защиту портов коммутаторов Ethernet и доступа к ним. Здесь
будут рассмотрены следующие темы.
• Контроль управляющего доступа к коммутаторам Ethernet.
• Защита портов коммутаторов Ethernet.
• Защита доступа к коммутаторам Ethernet.
Контроль управляющего доступа
к коммутаторам Ethernet
Как и в случае маршрутизатора, первым шагом в осуществлении зашиты коммутато-
коммутатора Ethernet является защита управляющего доступа к нему. Защитить доступ к коммута-
120
Часть I. Выбор политики защиты

тору в нормальном режиме можно с помощью пароля пользовательского режима
(пароль login), для чего используется команда set password. С помощью команды
enablepass изменяется пароль привилегированного режима (пароль enable) коммутатора.
Доступ Telnet и SNMP к коммутатору можно защитить с помощью списков разреше-
разрешений IP, которые отвергают попытки доступа Telnet и SNMP к коммутатору со стороны ис-
источников с несанкционированными IP-адресами. Все другие службы TCP/IP (в частности,
traceroute и ping) при этом продолжают работать в нормальном режиме. Списки разре-
разрешений IP не влияют на исходящие сервисы Telnet, TFTP и другие подобные сервисы IP.
Настройка и активизация списков разрешений IP выполняется с помощью команд ip
permit list. Сначала необходимо создать строки разрешений для клиентов Telnet или сис-
систем NMS, а затем активизировать соответствующий список разрешений.
Кроме того, можно указать необходимость использования возможностей ААА для
локальной или удаленной базы данных защиты, воспользовавшись командами set
authentication и set authorization.
Защита портов коммутаторов Ethernet
Защитная фильтрация портов является одной из возможностей защиты доступа
коммутаторов Ethernet серии Cisco Catalyst, заключающейся в блокировании входного
потока порта Ethernet или Fast Ethernet от несанкционированных станций. Защитная
фильтрация портов называется также изоляцией МАС-адресов (Media Access Con-
Control — протокол управления доступом к передающей среде).
Защитная фильтрация портов блокирует входной поток порта, когда МАС-адрес
станции, пытающейся получить к нему доступ, не совпадает с МАС-адресом, указан-
указанным для данного порта.
Когда защищенный порт получает пакет, МАС-адрес источника пакета сравнива-
сравнивается с адресом надежного источника, указанного в конфигурации порта. Если МАС-
адрес устройства, соединенного с портом, отличается от надежного адреса, порт ста-
становится недоступным, включается оранжевый индикатор линии порта и диспетчеру
SNMP посылается прерывание, соответствующее разрыву линии.
Можно задать надежные МАС-адреса порта вручную или же разрешить динамиче-
динамическое получение МАС-адресов присоединенных устройств. После того как адреса зада-
заданы или получены, они сохраняются в энергонезависимом ЗУ (NVRAM) и остаются
доступными даже после выключения устройства.
Замечание
Конфигурация многих виртуальных локальных сетей (VLAN) предполагает соединение
с одним магистральным портом, поэтому защиту портов для магистрального порта
реализовать практически невозможно.
Чтобы задать МАС-адрес порта, используется команда set port security. Если МАС-
адрес не задан, он выясняется в автоматическом режиме. Приведем синтаксис команды,
set port security mod_num/port_num(s) enable [mac_addr]
После того как адрес определен, ои остается неизменным до тех пор, пока система
не получит новый или пока вы повторно не введете соответствующую команду. МАС-
адрес сохраняется в NVRAM и остается там даже после перезагрузки. Если адрес ис-
источника пакета не соответствует разрешенному, то порт, в адрес которого прибыл па-
пакет, отключается, а диспетчеру SNMP посылается прерывание, соответствующее раз-
Глава 3. Защита инфраструктуры сети 121

рыву линии. Можно настроить порт так, чтобы он оставался отключенным до тех пор,
пока диспетчер не активизирует его снова, или же порт может быть активизирован ав-
автоматически по прошествии определенного периода времени.
Команда show port отображает всю касающуюся защиты информацию, в частности
МАС-адреса, значения счетчиков порта, а также информацию о том, активизированы
или отключены возможности защиты, как показано в примере 3.25.
' Пример 3.25: Отображение{:и^ * :
Console> (enable) set port security 3/1 enable 01-02-03-04-05-06
Console> (enable) set port security 3/2 enable
Console>
Console> (enable) show port 3
Port Status Vlan Level Duplex Speed Type
3/1
3/2
Port
3/1
3/2
connect 1
connect 1
Security
enabled
enabled
Console> (enable)
normal half
normal half
Secure-Src-Addr
01-02-03-04-05-06
05-06-07-08-09-10
10 10 BASE-T
10 10 BASE-T
Last-Src-Addr
01-02-03-04-05-06
10-11-12-13-14-15
Shutdown
No
Yes
Обратите внимание на то, что МАС-адрес, назначенный первой командой, ото-
отображается в разделе защиты портов команды show, а порт, указанный в последней
строке команды show, оказывается отключенным, поскольку адрес последнего источ-
источника не соответствует адресу надежного источника.
Защита доступа к коммутаторам Ethernet
Использование списков разрешений IP позволяет закрыть доступ Telnet и SNMP к
коммутатору со стороны источников с несанкционированными IP-адресами. Все ос-
остальные службы TCP/IP (например, traceroute и ping) продолжают работать в нор-
нормальном режиме. Списки разрешений IP не влияют на исходящие сервисы Telnet,
TFTP и другие подобные сервисы IP.
Списки разрешений IP можно использовать независимо от того, активизирована ли
система TACACS в сети. Если она активизирована, список разрешений IP обеспечивает
первый уровень контроля, учитывающий IP-адрес источника. Список разрешений IP каса-
касается только сервисов Telnet и SNMP входящего потока (в этот список можно внести до де-
десяти записей). Каждая запись списка состоит из IP-адреса и маски в десятичном формате с
точками-разделителями. Нули в маске указывают на несущественные биты адреса.
Когда список разрешений IP активизирован, доступ Telnet и сервис SNMP оказывают-
оказываются разрешенными только для узлов, IP-адреса которых указаны в списке. Извещения о не-
несанкционированных попытках доступа могут быть получены через прерывания SNMP и
посредством использования соответствующих опций системного журнала.
Список разрешений IP по умолчанию не используется. Активизация этого списка
осуществляется в привилегированном режиме командой set ip permit enable. Уда-
Удалить IP-адрес из списка разрешений IP можно с помощью команды clear ip permit в
122 Часть I. Выбор политики защиты

привилегированном режиме. Отменить использование списка разрешений IP в ком-
коммутаторе можно командой set ip permit disable. С помощью команды show ip
permit можно проверить конфигурацию списка. В примере 3.26 показано, как можно
добавить IP-адреса в список разрешений и как проверить его конфигурацию.
Пример 3.26. Добавление IP-адресов в список разрешений IP и проверка
•;'¦ '' егокожййгураЩж^^
Console> (enable) set ip permit 172.16.1.11
Console> set ip permit 172.16.11.0 255.255.255.0
Console> set ip permit enable
Console> show ip permit
IP permit list feature enabled.
Permit List Mask
172.16.1.11
172.16.11.0 255.255.255.0
Denied IP Address Last Accessed Time Type
172.16.1.11 01/20/2000,07:45:20 SNMP
172.16.11.3 01/21/2000,14:23:05 Telnet
Console>
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Следует офаничить физический доступ к сетевым устройствам и каналам связи,
иначе они могут быть легко скомпрометированы. Необходимо иметь достаточно
детальный план действий на случай аварии, при которой может быть нарушена
работа сетевого оборудования.
• Следует обеспечить защиту административного интерфейса с помощью назначения
паролей доступа к консоли и паролей Telnet, а также системы привилегий доступа.
• Следует использовать баннерные сообщения устройств, придерживаясь сле-
следующих правил. Такие сообщения должны включать предупреждения для по-
потенциальных сетевых нарушителей, не должны приглашать нарушителей войти
в сеть и должны быть размещены во всех местах, где потенциально возможно
получение доступа к сети.
• Следует использовать возможности шифрования пароля, предлагаемые про-
программным обеспечением Cisco IOS, но не следует полагаться на них как на
единственный метод защиты. Проследите за тем, чтобы используемые для
пользователей сети пароли были падежными.
• Можно контролировать доступ SNMP к сетевым устройствам с помощью груп-
групповых строк и списков доступа, ограничивающих доступ систем NMS к агентам
SNMP и базам MIB в сетевых устройствах.
• Можно использовать аутентификацию протокола маршрутизации, чтобы обес-
обеспечить защиту обновлений протокола маршрутизации. Если имеется возмож-
Глава 3. Защита инфраструктуры сети 123

ность, используйте аутентификацию MD5, чтобы исключить необходимость пе-
пересылки паролей аутентификации, которые при этом могут быть фальсифици-
фальсифицированы или раскрыты.
• Можно защитить файлы конфигурации маршрутизатора, реализовав защиту
хостов и средств SNMP.
• Можно использовать стандартные и расширенные списки доступа, чтобы обес-
обеспечить контроль сетевого трафика, проходящего через маршрутизаторы.
• Можно контролировать доступ HTTP к маршрутизатору с помошью списков
доступа и команд ip http, если настройка маршрутизатора осуществляется с
применением броузера. Доступ HTTP по умолчанию отключен.
• Можно контролировать доступ к коммутаторам Ethernet путем контроля управ-
управляющего доступа к коммутаторам и фильтрации защищенных портов.
Практическое занятие. Настройка
базовых средств сетевой защиты
Целью этого практического занятия является демонстрация того, как можно реа-
реализовать принципы защиты, рассмотренные в этой главе. Прочитайте план практиче-
практического занятия, изучите схему топологии сети и рассмотрите политику защиты. Затем
проанализируйте пример конфигурации, чтобы понять, как элементы политики защи-
защиты реализуются для маршрутизаторов Cisco.
План практического занятия
Компания XYZ намеревается начать реализацию политики защиты сетевой инфра-
инфраструктуры с правильной настройки маршрутизаторов территориальной сети, чтобы проти-
противостоять угрозам, исходящим изнутри. Таким образом компания может начать реализацию
первого этапа плана защиты без каких бы то ни было дополнительных расходов.
Топология
На рис. 3.12 показана часть сети компании XYZ, которая будет рассмотрена в ходе
данного практического занятия. В фокусе внимания здесь оказываются маршрутиза-
маршрутизаторы R2 и R3.
Политика сетевой защиты
К политике защиты территориальной сети компании XYZ предъявляются следую-
следующие требования, которые касаются сетей подразделений производства и сбыта.
• Защита консоли и доступа Telnet:
• защита консоли и доступа Telnet с помощью уникальных паролей;
• ограничение длительности сеанса в режиме EXEC без сопровождения;
• использование баннерных сообщений маршрутизатора для предупреждения
нарушителей;
• разрешение доступа Telnet к серверам сетевого доступа только для систем NMS.
124 Часть I. Выбор политики защиты

Производство
Удаленный
клиент
Клиент
Удаленный
доступ
Система
NMS
Сервер Сервер
SMTP DNS
Рис. 3.12. Настройка маршрутизаторов R2 и R3 в соответствии с политикой сетевой защиты
компании XYZ
• Управление трафиком между маршрутизаторами:
• разрешение входного потока, установленного только внутренними источниками;
• разрешение любому оборудованию территориальной сети или удаленному
клиенту использовать средства ping для проверки доступности адресата, ко-
которым может быть любое другое оборудование территориальной сети или
удаленный клиент;
• разрешение всего исходящего трафика, за исключением некоторых обновле-
обновлений маршрутизации;
• разрешение трафика FTP и Web от удаленных клиентов к внутренним сер-
серверам сети.
• Защита связей между маршрутизаторами:
• разрешение передачи обновлений маршрутизации RIP;
• запрет объявления информации о внутренних сетях внешним удаленным
клиентам и разрешение объявления только блока IP-адресов, соответствую-
соответствующих маршрутизаторам.
• Контроль доступа SNMP:
• разрешение чтения и записи SNMP только системе сетевого управления.
Глава 3. Защита инфраструктуры сети
125

Пример конфигурации маршрутизатора R2
Рассмотрим конфигурацию маршрутизатора R2 компании XYZ, представленную в
примере 3.27. В этом примере реализуются элементы политики защиты, касающиеся
защиты территориальной сети. Это только одна из возможных конфигураций маршру-
маршрутизатора R2, реализующих указанную политику защиты; можно выбрать и другую
конфигурацию, обеспечивающую успешное решение тех же задач. Маршрутизатор R3
может быть настроен аналогично маршрутизатору R2.
Обратите внимание на комментарии в примере конфигурации, поясняющие связь
соответствующих команд с требованиями политики защиты. Эта конфигурация соот-
соответствует маршрутизатору Cisco 1720. Не относящиеся к рассматриваемому вопросу
команды были из листинга удалены с целью его сокращения.
Пример 3!27.Примфк6нфйгурациЙ!
plr2jfshow running-config
Current configuration:
!
version 12.0
service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname plr2
i
! Защита консопн и доступа Telnet разными паролями
! Шифрование паролей обеспечивается командой service password-encryption
enable secret 5 $l$b4X5$7A7IUNmzGm8vOmi9nBkCl/
enable password 7 15141905172924
!
ip host modem 2002 10.1.1.1
!
! Применение списка доступа 101 к входящему трафику интерфейса
interface FastEthernetO
ip address 10.1.1.1 255.255.255.0
ip access group 101 in
no mop enabled
!
interface SerialO
physical-layer async
ip address 10.1.2.1 255.255.255.0
ip tcp header-compression passive
encapsulation ppp
bandwidth 38
async mode interactive
peer default ip address pool classpool
no fair-queue
126 Часть I. Выбор политики защиты

no cdp enable
!
! Разрешение передачи обновлений маршрутизации RIP
I Маршрутизаторы должны запрещать сообщение информации о внутренних сетях
! удаленным клнентам и должны объявлять только свой блок IP-адресов
router rip
version 1
network 10.0.0.0
distribute-list 21 out EthernetO
distribute-list 22 out Senal2
distance 2
i
ip local pool classpool 10.1.2.2 10.1.2.10
ip classless
access-list 20 permit 10.1.1.4
! Разрешение передачи обновлений маршрутизации RIP
! Маршрутизаторы должны запрещать сообщение информации о внутренних сетях
! удаленным клнентам и должны объявлять только свой блок IP-адресов
access-list 21 permit 10.1.2.0 0.0.0.255
! Запрет объявления удаленным клнентам информации о обновлениях маршрутизации
access-list 22 deny 10.1.0.0 0.0.255.255
! ?теяяе я запись SNMP разрешается только системе сетевого управления
! (сервер Windows NT)
access-list 25 permit 10.1.1.4
! Разрешение доступа Telnet к серверам сетевого доступа только для сервера Windows NT
access-list 101 permit tcp host 10.1.1.4 any eq telnet
! Разрешение входного потока, установленного только внутренними источниками
! Разрешение исходящего трафика, за исключением некоторых обновлений маршрутизации
access-list 101 permit tcp any any established
! Разрешение оборудованию сетн и удаленному клненту использовать средства ping
I для проверки доступности адресата (оборудования сетн яля удаленного клиента)
access-list 101 permit icmp 10.1.0.0 0.0.255.255 any echo
access-list 101 permit icmp 10.1.0.0 0.0.255.255 any echo-reply
! Разрешение трафика FTP и Web от удаленных клиентов к внутренним серверам сетн
I Разрешение сеансов FTP и Web, исходящих от узлов сети яля удаленных клиентов
! к "серверам FTP и Web"
access-list 101 permit tcp 10.1.0.0 0.0.255.255 10.1.2.0 0.0.0.255 eq ftp
access-list 101 permit tcp 10.1.0.0 0.0.255.255 10.1.2.0 0.0.0.255 eq ftp-data
access-list 101 permit tcp 10.1.0.0 0.0.255.255 10.1.2.0 0.0.0.255 eq www
access-list 101 permit udp any any eq rip
! Разрешение приема обновлений маршрутизации RIP маршрутизатором R2
! Разрешение трафика TCP от сервера CiscoSecure на ntl
! Запрет остального трафика IP и регистрация соответствующих попыток
access-list 101 deny ip any any log
! Чтение и запись SNMP разрешается только системе сетевого управления
! (сервер Windows NT)
snmp server party ntl iso.2.3.4.10.1.4.1 udp 0.0.0.0 0 authentication snrapvl pc
snmp-server community KingLear RW 25
! Создание баннерного сообщения с предупреждением для нарушителей
Глава 3. Защита инфраструктуры сети 127

banner motd ЛС Warning: Unauthorized users will be prosecuted ЛС
!
! Защита консоли и доступа Telnet разными паролями
! Задание предельного времени для режима EXEC без сопровождения
line con О
exec-timeout 60 0
password 7 02050D480809
login
line 2
password 7 13061E010803
autoselect dunng-login
autoselect ppp
login local
modem InOut
modem autoconfigure type usr sportster
transport input all
stopbits 1
rxspeed 115200
txspeed 115200
flowcontrol hardware line aux 0 line vty 0 4
! Разрешение доступа Telnet к серверам сетевого доступа только для
! Windows NT
access-class 20 in
! Задание предельного времени для режима EXEC без сопровождения
exec-timeout 5 0
! Защита консоли и доступа Telnet разными паролями
password 7 13061Е010803
login
i
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых моментов и
понятий, рассмотренных в этой главе.
1. Чем оправдана трата времени на создание настроек оборудования, обеспечиваю-
обеспечивающих максимальную защищенность инфраструктуры сети?
2. С помощью каких двух команд Cisco IOS назначаются пароли начала сеанса для
консоли и доступа Telnet?
3. Какие команды используются для обеспечения защиты административного ин-
интерфейса в режиме конфигурации линии?
4. Какая необходима команда, чтобы создать иерархию уровней привилегий адми-
администрирования?
5. Какие три команды Cisco IOS могут использоваться для ограничения доступа Telnet к
маршрутизатору с пятью назначенными портами vty для узла с адресом 10.16.4.1?
6. Как запретить доступ NMS-нарушителя к агенту SNMP?
128 Часть I. Выбор политики защиты

7. Какая из возможностей Cisco IOS обеспечивает защиту обновлений маршрутиза-
маршрутизации от атак фальсификации адресов при использовании протокола маршрутиза-
маршрутизации EIGRP?
8. Какие четыре метода с их соответствующими командами используются для кон-
контроля объявления и обработки обновлений маршрутизации маршрутизатором?
9. Какие три команды Cisco IOS следует применить, чтобы запретить объявление
обновлений маршрутизации IGRP (автономная система 100) в рамках интерфейса
Ethernet 0 от сети 16.17.1.0 на интерфейсе Ethernet 1?
10. Какими методами осуществляется управление защитой коммутатора Ethernet?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения на практике соответствующих средств требуется более
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Общие вопросы конфигурации средств защиты
маршрутизаторов
Обзор возможностей, касающихся настройки средств защиты маршрутизаторов
Cisco, представлен в главах "Security Overview", "Traffic Filtering and Firewalls" и
"Other Security Features" руководства Cisco IOS Release 12.0 Security Configuration Guide.
Информацию об использовании конкретных команд, с помощью которых осуще-
осуществляется общая настройка средств защиты маршрутизаторов Cisco, можно найти в
главе "Other Security Features" из раздела "Router and Network Monitoring Commands"
руководства Cisco IOS Release 12.0 Security Command Reference.
Стандартные и расширенные списки доступа
Вопросы использования и настройки стандартных и расширенных списков доступа
обсуждаются в главах "Configuring IP Services" и "IP Addressing and Services" из разде-
раздела "Configuring IP Services" руководства Cisco IOS Release 12.0 Network Protocols Con-
Configuration Guide.
Сведения о применении стандартной и расширенной версий команды access-list
можно найти в главе "IP Addressing and Services" из раздела "IP Services Commands"
руководства Cisco IOS Release 12.0 Network Protocols Command Reference.
SNMP
Обзор возможностей использования средств SNMP маршрутизаторов Cisco пред-
представлен в главе "System Management" из раздела "Monitoring the Router and Network"
руководства Cisco IOS Release 12.0 Configuration Fundamentals Configuration Guide.
Использование конкретных команд, с помощью которых осуществляется настрой-
настройка средств SNMP в маршрутизаторах Cisco, описано в главе "System Management
Commands" из раздела "Router and Network Monitoring Commands" руководства Cisco
IOS Release 12.0 Configuration Fundamentals Command Reference.
Глава З. Защита инфраструктуры сети 129

Аутентификация соседних маршрутизаторов
Обзор возможностей аутентификации маршрутизаторов представлен в главе "Other
Security Features" из раздела "Neighbor Router Authentication: Overview and Guidelines"
руководства Cisco IOS Release 12.0 Security Configuration Guide. По вопросам использо-
использования команд конфигурации, с помощью которых осуществляется настройка средств
аутентификации соседних маршрутизаторов для поддерживаемых протоколов, следует
обратиться к разделу "Finding Neighbor Authentication Configuration Information".
Защита коммутаторов Ethernet
Обзор возможностей конфигурации средств защиты коммутаторов Ethernet серии
Catalyst 6000/6500 можно найти в разделе "Configuring Network Security" руководства
Catalyst 6000/6500 Series Software Configuration Guide E.2).
Описание возможностей конфигурации средств защиты коммутаторов Ethernet се-
серии Catalyst представлено в руководствах по программному обеспечению коммутато-
коммутаторов Catalyst 5000, 4000, 2948G, 2926G и 2926 D.5) и соответствующих главах "Software
Configuration Guide", "Controlling Access to the Switch Using Authentication" и
"Configuring Secure Port Filtering" этих руководств.
130 Часть I. Выбор политики защиты

ш^Ф
sw
ш чь„.
V
*%*
« •-!»
^¦.., i^

Часть
м
Защита удаленного доступа
4Ш-
Глава 4. Технология защиты ААА
Глава 5. Настройка средств ААА сервера сетевого доступа
Г^ава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS

Изучив материал этой главы, вы сможете выполнить следующие задачи.
• Описать компоненты модели ААА.
• Описать технологии парольного доступа.
• Объяснить, как осуществляется аутентификация в рамкахпротокола РРР.
• Описать взаимодействие аутентификации RAP и CHAP. ¦
• Сравнить возможности серверов защиты различных типов, f.
• Дать описания серверов, защиты Cisco. • ,
¦''"-&¦'
"ж,

Глава
4
Технология защиты ААА
Данная глава представляет собой обзор возможностей архитектуры ААА (Authentication,
Authorization, and Accounting — аутентификация, авторизация и аудит) Cisco и технологий
зашиты,' связываемых с этой архитектурой, Здесь содержится информация, необходимая
для практической реализации возможностей защиты доступа к сети с помощью продуктов
Cisco, которые будут обсуждаться в главе 5, "Настройка сервера сетевого доступа", и главе
6, "Настройка CiscoSecure ACS и TACACS+/RADIUS". В этой главе обсуждаются только
• вопросы защиты доступа, связанные с продуктами Cisco.
Защита сетевого доступа с помощью
средств ААА
«; Несанкционированный доступ, а также возможность фальсификации и обмана в
сетевой среде дают1 нарушителям потенциальную возможность получения доступа к
сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно огра-
ограничить возможности нарушителей, оставляя законным пользователям сети право
иметь доступ к сетевым ресурсам.
Архитектура защиты ААА
г Защита сетевого доступа — независимо от того, рассматривается она в применении
к территориальной сети предприятия, удаленному доступу или Internet — имеет мо-
модульную архитектуру, состоящую из следующих трех компонентов.
• > Аутентификация. Требует от пользователей доказательства того, что они действи-
действительно являются теми, за кого себя выдают, например, посредством ввода имени
пользователя и пароля, использования системы запросов/подтверждений, иденти-
. фикациоиных карт или какого-то другого метода.
'>. "Я — пользователь student, и мой пароль validateme доказывает это."
• Авторизация. После аутентификации пользователя сервис авторизации решает,
- к каким ресурсам разрешается доступ данному пользователю и какие действия
/"' разрешается ему выполнять.
% 5 "Пользователь student может иметь доступ к узлу NT_Server посредством Telnet."
• Аудит. Запись того, что пользователь действительно делал, к чему имел доступ и
в течение какого времени, осуществляется с целью учета, контроля и выясне-

ния стоимости. С помощью аудита можно проследить за тем, как используются
сетевые ресурсы. Аудит может быть применен для анализа практики сетевого
доступа и обнаружения сетевых вторжений.
"Пользователь student получал доступ к узлу NT_Server посредством Telnet 15 раз."
В табл. 4.1 содержится краткая сводка проблем защиты доступа и указаны методы
ААА, которые могут использоваться для их решения. Там же указаны и некоторые пу-
пути реализации методов ААА.
Проблема защиты
Метод ААА
Путь реализации
Несанкционированный доступ
• Территориальная сеть
• Удаленный доступ
• Internet
Обман
> Аутентификация
¦ Авторизация
> Аудит
• Пароли
• Возможности защиты доступа к
сетевому оборудованию
• Серверы защиты
• Возможности аудита сетевого
оборудования
• Серверы защиты
Обратите внимание на то, что все решения защиты сетевого доступа, предлагаемые в
табл. 4.1, включают, по крайней мере, один из трех методов ААА, поддерживаемых в про-
продуктах Cisco. Реализация защиты может также предполагать использование стандартов сер-
сервера защиты ААА (удаленной базы данных защиты), поддерживаемых продуктами Cisco,
включая системы TACACS+ (Terminal Access Controller Access Control System Plus — сис-
система управления доступом к контроллеру терминального доступа), RADIUS (Remote Access
Dial-In User Service — сервис идентификации удаленных абонентов) и Kerberos. Методы
ААА и стандарты удаленной базы данных защиты будут рассматриваться достаточно под-
подробно в этой главе ниже.
Средства ААА и трафик доступа
Удаленный доступ является неотъемлемой частью деятельности корпорации. Нахо-
Находящимся в командировке служащим, работникам управления, персоналу филиалов,
надомным работникам и другим сотрудникам требуется связь с сетью главного офиса.
Чтобы иметь возможность устанавливать сетевые соединения, удаленный пользователь
должен иметь необходимое программное обеспечение (например, программное обеспече-
обеспечение клиента FTP или Telnet), набор протоколов (например, протокол TCP/IP (Transmission
Control Protocoyintemet Protocol — протокол управления передачейДтегпе^протокол),
IPX (Internetwork Packet Exchange — межсетевой пакетный обмен), AppleTalk) и драйверы
канального уровня, устанавливаемые в системе удаленного клиента.
Программное обеспечение с помощью набора протоколов инкапсулирует данные поль-
пользователя и протоколов высшего уровня в протоколы канального уровня, такие как SLIP
(Serial Line Internet Protocol — межсетевой протокол для последовательного канала) и РРР
(Point-to-Point Protocol — протокол передачи от точки к точке). Инкапсулированные паке-
пакеты передаются по линии удаленного доступа в аналоговой или цифровой форме, в зависи-
зависимости от типа используемого телекоммуникационного канала.
136
Часть II. Защита удаленного доступа

Компонентами удаленного доступа обычно являются удаленная система клиента
(Windows 95/98/2000 или Macintosh), канал связи PSTN (Public Switched Telephone
Network — коммутируемая телефонная сеть общего пользования) или ISDN (Integrated
Services Digital Network — цифровая сеть связи с комплексными услугами), сервер сетевого
доступа (например, сервер сетевого доступа Cisco 5300) и удаленная база данных защиты
под управлением программного обеспечения сервера управления доступом (сервер
CiscoSecure ACS, использующий систему TACACS+), как показано на рис. 4.1.
Пакетный, символьный режим
Сервер
сетевого
доступа
Сервер защиты
Удаленный клиент
(SLIP, PPR ARAP)
Символьный хост
режим Те|пе1
Консольный
терминал
Рис. 4.1. Технологии ААА, обеспечивающие защиту трафика в символьном и па-
пакетном режимах
Использование технологии ААА в системе удаленного клиента, сервере сетевого
доступа и сервере защиты (сервере сетевого доступа) обеспечивает защиту удаленного
доступа. Сервер сетевого доступа использует протоколы ААА, на основе которых пре-
предоставляется сервис ААА.
Средства ААА и трафик символьного режима
Технологии ААА обеспечивают защиту в символьном и линейном режимах доступа
к серверам сетевого доступа и другому сетевому оборудованию. В маршрутизаторах
Cisco с помощью средств ААА обеспечивается защита трафика в символьном режиме
для связи по линиям, указанным в табл. 4.2.
Тип линии Описание
Aux Вспомогательный порт EIA/TIA-232 DTE в маршрутизаторах Cisco и коммутаторах Ethernet,
используемый для поддержки модемов и асинхронного доступа
Console Консольный порт EIA/TIA-232 DCE в маршрутизаторах Cisco и коммутаторах Ethernet, исполь-
используемый для асинхронного доступа к режимам конфигурации устройств
tty Стандартная асинхронная линия EIA/TIA-232 DTE сервера сетевого доступа
vty Линия виртуального терминала и соответствующий интерфейс, разрывающий входящие сим-
символьные потоки, не имеющие физической связи с сервером доступа или маршрутизатором
Глава 4. Технология защиты ААА
137

Средства ААА и трафик пакетного режима
Технологии ААА могут обеспечить защиту удаленного доступа по асинхронным,
групповым асинхронным линиям, линиям ISDN с интерфейсом BRI (Basic Rate
Interface — интерфейс базового уровня) или PRI (Primary Rate Interface — интерфейс
основного уровня) маршрутизаторов Cisco в пакетном и интерфейсном режимах. В
табл. 4.3 перечислены протоколы, генерирующие защищенный средствами ААА тра-
трафик маршрутизатора Cisco в пакетном режиме.
! Таблица 43. Г1р<#окОль1, генерирующие трафик пакетного режима,
t;J^o.^^|^:^!?ii4MuteHHbiM средствами ААА ;'/?|§| t|--:J!t''<^ ¦¦/::Л" ' 1
Тип пакетного режима Описание
РРР РРР последовательного интерфейса или интерфейса ISDN
агар ARAP (AppleTalk Remote Access Protocol — протокол удаленного доступа Apple-
Talk) последовательного интерфейса
N ASI Клиенты NASI (NetWare Acccess Server Interface - интерфейс сервера доступа NetWare),
связывающиеся с сервером доступа в рамках последовательного интерфейса
Методы аутентификации
Основными из рассматриваемых методов аутентификации является проверка име-
имени пользователя и пароля, использование технологии S/Key, идентификационных
карт и соответствующих серверов, применение аутентификации протоколов РАР
(Password Authentication Protocol — протокол аутентификации пароля) и CHAP
(Challenge Handshake Authentication Protocol — протокол аутентификации с предвари-
предварительным согласованием вызова). Все эти методы обсуждаются в следующих разделах.
Аутентификация по имени и паролю
Наиболее часто используемым методом аутентификации пользователя является про-
проверка его имени и пароля. С точки зрения аутентификации проверка имени и пароля мо-
может оказаться как ненадежной, так и надежной, в зависимости от метода проверки. Про-
Простые методы аутентификации предполагают применение базы данных имен и паролей,
тогда как при более сложных методах используются одноразовые пароли. Давайте рассмот-
рассмотрим методы, показанные на рис. 4.2, начиная с наиболее слабого, размещенного внизу ри-
рисунка, и заканчивая наиболее сильным, расположенным вверху. Более сильные методы ау-
аутентификации обеспечивают лучшую защиту от несанкционированного доступа. Более
слабые методы аутентификации доступа обычно проще с точки зрения их использования и
администрирования по сравнению с более сильными методами. Для простых методов ау-
аутентификации используется база данных имен и паролей, а для более сложных предпола-
предполагается применение одноразовых паролей.
Указанные на рис. 4.2 методы аутентификации имеют следующие особенности.
• Отсутствие проверки имен пользователей или паролей. Некоторые системные ад-
администраторы разрешают доступ к сетям без проверки имен пользователей и
паролей. Это, очевидно, обеспечивает наименьшую защиту, поскольку наруши-
нарушителю в этом случае необходимо только выяснить способ входа в сеть.
138 Часть II. Защита удаленного доступа

• Статические имена пользователей и пароли. Остаются неизменными до тех пор, пока
не будут изменены администратором системы или пользователем. Уязвимы в отно-
отношении атак воспроизведения сообщений и программ "взлома" паролей.
Сильная'
Идентификационные карты и их программные аналоги (одноразовые пароли)
Одноразовые пароли
S/Key (одноразовые пароли терминального доступа)
Аутентификация
Имена пользователей и пароли (меняющиеся со временем)
Имена пользователей и пароли (статические)
Отсутствие проверки имен пользователей или паролей
Слабая
Сложные В использовании Простые
Рис. 4.2. Методы аутентификации и относительная простота их использования
• Имена пользователей и пароли, меняющиеся со временем. Становятся недействи-
недействительными по истечении определенного времени (обычно от 30 до 60 дней).
Чтобы доступ к сети был разрешен, они должны быть установлены снова
(обычно самим пользователем). Уязвимы в отношении атак воспроизведения
сообщений и программ "взлома" паролей, но в меньшей степени, чем статиче-
статические пары имен пользователей и паролей.
• Одноразовые пароли S/Key. Генерирование множества одноразовых паролей
обычно используется для терминального доступа. Метод S/Key предполагает ге-
генерирование первого пароля на основе секретной парольной фразы, а каждого
последующего — на основе шифрования предыдущего. Список паролей генериру-
генерируется программным обеспечением сервера S/Key и доставляется пользователям.
• Одноразовые пароли. Один из наиболее сильных методов, основанных на про-
проверке имен пользователей или паролей. Большинство систем одноразовых па-
паролей строится на секретной парольной фразе, с помощью которой генерирует-
генерируется список паролей. Такие парольные фразы пригодны только для одного сеанса
связи и поэтому оказываются бесполезными для тех, кому удается перехватить
ее. Для терминального доступа обычно используется метод S/Key, представ-
представляющий собой один из вариантов метода одноразовых паролей.
• Идентификационные карты и программные маркеры. Методы, основанные на приме-
применении некоторого устройства (например, идентификационной карты) и информа-
информации, необходимой для использования этого устройства (например, PIN-кода соот-
соответствующей идентификационной карты). Идентификационные карты по сложно-
сложности сравнимы с калькуляторами. Имеется немало производителей идентификацион-
идентификационных карт, и каждый из них имеет собственный сервер идентификационных карт.
Для такой карты требуется ввести PIN-код, и тогда она генерирует пароль защиты.
Сервер идентификационных карт получает и проверяет пароль. Соответствующая
система обычно складывается из компьютера удаленного клиента, сервера сетевого
доступа и сервера защиты, на котором выполняется программное обеспечение об-
обработки информации идентификационных карт.
Вы должны выбрать и реализовать метод аутентификации, соответствующий тре-
требованиям вашей политики сетевой защиты. Политика должна определять желатель-
Глава 4. Технология защиты ААА 139

ный баланс между надежностью защиты и удобством использования соответствую-
соответствующих средств.
На рис. 4.3 показана схема аутентификации удаленного доступа с помощью имен поль-
пользователей и паролей. На стороне клиента система удаленного доступа Windows NT запра-
запрашивает у удаленного пользователя его имя и пароль (как показано на рис. 4.4), которые
пересылаются по линиям связи с использованием протоколов ТСРДР и РРР удаленному
серверу сетевого доступа или серверу защиты для аутентификации. В операционных сис-
системах Windows 95, 98 и 2000 окна аутентификации выглядят примерно так же.
Сервер
сетевого
доступа
Система
удаленного
клиента
Сервер
защиты
Имя пользователя и пароль (TCP/IP РРР)
Рис. 4.3. Удаленный клиент посылает имя пользователя и пароль серверу сете-
сетевого доступа для аутентификации
Connect lo Corporate Dial in (800)
Рис. 4,4, Диалоговое окно аутентификации
удаленного доступа Windows NT
Удаленному пользователю необходимо ввести имя и пароль и щелкнуть на кнопке
ОК, чтобы инициировать удаленное соединение.
После ввода пользователем имени и пароля и щелчка на кнопке ОК система уда-
удаленного доступа Windows NT передает полученные данные удаленному серверу сете-
сетевого доступа или серверу защиты для аутентификации, используя протоколы TCP/IP
и РРР (рис. 4.3).
Аутентификация имен пользователей и паролей часто используется приложениями
защиты Internet. Например, некоторые приложения Cisco Connection Online (CCO)
требуют, чтобы пользователь имел имя и пароль, зарегистрированные ССО. Когда
пользователь пытается получить доступ к защищенному ССО-приложению с помо-
140
Часть II. Защита удаленного доступа

щью Web-броузера, приложение заставляет броузер отобразить окно с требованием
ввести имя пользователя и пароль, подобное показанному на рис. 4.4. Имя пользова-
пользователя и пароль могут быть проверены средствами ААА сервера защиты.
Аутентификация S/Key
Сеансы связи удаленного доступа уязвимы в отношении атак нарушителей, исполь-
использующих средства перехвата для выявления имен пользователей и паролей. Нарушители
могут использовать перехваченную информацию для организации атак воспроизведения
пакетов с целью получения несанкционированного доступа к сети. Система S/Key одно-
одноразовых паролей разработана с целью получения паролей, которые могут безопасно пере-
пересылаться по линиям связи. Технология S/Key предполагает пересылку по сети только од-
одноразового пароля. Такой пароль представляет собой хэш-код секретного пароля пользова-
пользователя, так что сам секретный пароль никогда по сети не передается, а одно и то же
хэшированное представление пароля никогда не используется повторно.
Откуда система S/Key получила свое имя
После не увенчавшихся успехом попыток найти в доступных документах RFC и других
публикациях ответ на вопрос о происхождении названия системы S/Key, я решился
спросить об этом у Нейла Халлера (Neil Haller), одного из разработчиков S/Key и ав-
авторов соответствующих документов RFC. Вот его ответ: "Я выдумал это название.
Сначала система называлась по-другому, но исходное название оказалось защищен-
защищенной торговой маркой. Потом был долгий период поиска имени, подходящего для ис-
использования в качестве нашей торговой марки. Название S/Key явилось результатом
отчаяния после рассмотрения множества альтернатив. Я думаю, что при этом в моей
голове вертелись слова 'secure' (защищенный) и 'key' (ключ)".
Важным преимуществом системы S/Key является то, что она обеспечивает защиту от
атак перехвата сообщений без модификации программного обеспечения удаленного кли-
клиента и не создает больших неудобств пользователям. Ввиду того, что система S/Key легко
интегрируется в другие системы защиты, она используется для защиты паролей во многих
сетях. Клиент S/Key и хост не хранят при этом никакой секретной информации. Поэтому
даже если какой-то из элементов системы оказывается скомпрометирован, сетевой нару-
нарушитель не получает возможности выяснить секретные пароли.
Как показано на рис. 4.5, система S/Key состоит из трех главных компонентов:
системы удаленного клиента, с помощью которой пользователь получает удаленный
доступ, программного обеспечения клиента для генерирования одноразовых паролей
и программного обеспечения хоста S/Key на сервере защиты удаленного доступа.
Удаленный клиент
Одноразовый пароль S/Key (открытый текст)
Программное Программное
обеспечение обеспечение
клиента S/Key хоста S/Key,
выполняемое
сервером защиты
Рис. 4.5. Компоненты системы аутентификации S/Key: удаленный
клиент, программное обеспечение клиента S/Key и хост S/Key
Глава 4. Технология защиты ААА 141

Программное обеспечение клиента S/Key
Профаммное обеспечение клиента S/Key для генерирования одноразовых паролей на-
называется генератором паролей и обычно устанавливается в удаленной системе. Когда требу-
требуется одноразовый пароль, пользователь вводит секретный пароль в соответствующее поле
диалогового окна интерфейса клиента S/Key. Клиент S/Key с помощью одностороннего
алгоритма хэширования на основе введенного пользователем секретного пароля и специ-
специального начального числового значения, полученного от хоста S/Key, создает одноразовый
пароль. В системе S/Key для создания одноразовых паролей используются MD4 или MD5,
являющиеся односторонними алгоритмами хэширования. Каждый одноразовый пароль,
генерируемый в системе S/Key, состоит из шести коротких слов. При этом клиент S/Key
может иметь интерфейс командной строки или фафический интерфейс пользователя.
Примером пароля S/Key, генерируемого посредством интерфейса командной строки, мо-
может быть BONE YANK ROW RING WHOA TRUE. На рис. 4.6 показан пример интерфей-
интерфейса пользователя генератора паролей S/Key для Windows 95 — профаммы keyapp.exe.
Enter S/KEY Parameters or
press button to paste Clipboard
One-time password: |YAW HULL SUP RAM NAME TREK
Рис. 4.6. Интерфейс пользователя клиента
S/Key (keyapp.exe)
Программа keyapp.exe имеет графический интерфейс пользователя, позволяющий
ввести секретный пароль, вычислить одноразовый пароль, скопировать пароль в бу-
буфер обмена, а затем вставить его в соответствующее поле окна аутентификации
(например, окна удаленного доступа к сети в Windows). Программное обеспечение ау-
аутентификации удаленного клиента посылает одноразовый пароль в виде открытого
текста хосту S/Key, который должен проверить его.
После того как одноразовый пароль использован, он не принесет никакой пользы
перехватчику сообщений. Некоторые генераторы паролей S/Key создают список од-
одноразовых паролей, который может быть напечатан, чтобы пароли можно было ввести
вручную в окне аутентификации, когда это потребуется.
Хосты S/Key
Хост S/Key получает запрос аутентификации от клиента S/Key и посылает запрос
согласования параметров S/Key, включающий порядковый номер сообщения и на-
начальное числовое значение, используемое алгоритмом хэширования клиента. Затем
клиент S/Key посылает хосту S/Key одноразовый пароль. Хост S/Key проверяет этот
пароль путем применения к нему алгоритма хэширования и сравнения полученного
результата с одноразовым паролем, полученным от клиента. Если значения совпада-
совпадают, запрос пользователя удовлетворяется и полученный одноразовый пароль сохраня-
сохраняется в некотором файле. Клиент S/Key и сервер следят за числом использованных од-
одноразовых паролей, генерируя уменьшающиеся порядковые номера, так что пользова-
пользователь должен вновь инициализировать счетчик S/Key с новым секретным паролем,
когда счетчик достигает значения 0. Средства аутентификации S/Key поддерживаются
профаммным обеспечением CiscoSecure ACS для сервера защиты UNIX.
142 Часть II. Защита удаленного доступа

Пример использования S/Key
Рассмотрим пример того, как пользователь Sally использует средства S/Key с уда-
удаленной системы UNIX (с интерфейсом командной строки), обращаясь к CiscoSecure
ACS через сервер сетевого доступа.
1. Пользователь Sally идентифицирует себя в ответ на стандартное приглашение ау-
аутентификации сервера сетевого доступа.
User Access Verification
Usernarae: sally
s/key 98 agst2359
Password:
2. Система CiscoSecure ACS генерирует запрос, включающий порядковый номер 98 для
ожидаемого одноразового пароля и agst2359 — для начального числового значения.
Эти значения предъявляются пользователю Sally сервером сетевого доступа.
3. В строке приглашения UNIX пользователь Sally вводит 98 и agst2359 в свою
программу-калькулятор S/Key, имеющую имя key. Секретным паролем может
быть любая строка (не менее 10 буквенно-цифровых символов), выбираемая са-
самим пользователем.
% key 98 agst2359
Введите секретный пароль: secret_password
Калькулятор S/Key создает одноразовый пароль следующего вида:
ANNE JEAN MILK SHAW LARK NEST
4. После этого пользователь Sally снова взаимодействует с сервером сетевого досту-
доступа. Он вводит пароль S/Key, чтобы пройти процедуру аутентификации.
Password: ANNE JEAN MILK SHAW LARK NEST
5. При следующей попытке пользователя Sally получить доступ к сети будет запрошен
одноразовый пароль с порядковым номером 97. Порядковый номер будет на единицу
меньше, чем тот, что использовался для предыдущей аутентификации. Когда значе-
значение порядкового номера достигнет 0, пользователь Sally не сможет войти в сеть без
повторной инициализации калькулятора S/Key с новым секретным паролем.
Идентификационные карты и серверы
Еще один метод аутентификации с применением одноразовых паролей, обеспечи-
обеспечивающий более высокую степень защиты, предполагает использование идентификаци-
идентификационных карт и серверов. Каждая идентификационная карта, размером с банковскую
кредитную карточку, программируется под конкретного пользователя, а пользователь
получает уникальный PIN-код, позволяющий генерировать пароль, соответствующий
только конкретной карте. Такой пароль затем вводится в поле пароля в процессе ау-
аутентификации удаленного доступа.
Данный метод аутентификации требует, чтобы пользователь имел идентификаци-
идентификационную карту или соответствующий программный аналог и знал код, с помощью кото-
которого можно инициировать процесс генерирования пароля. Этот метод аутентифика-
аутентификации из всех коммерчески доступных обеспечивает наилучшую защиту. Аутентифика-
Аутентификация с применением одноразового пароля осуществляется между соответствующим
сервером с базой данных идентификационных карт и программным обеспечением ау-
аутентификации удаленного клиента.
Глава 4. Технология защиты ААА 143

Операции, выполняемые идентификационной картой
и сервером
Элементами системы аутентификации, о которой идет речь, являются удаленный кли-
клиент, идентификационная карта, сервер сетевого доступа и сервер идентификационных
карт. Идентификационные карты и серверы используются следующим образом.
1. Пользователь генерирует одноразовый пароль с помощью идентификационной
карты, использующей для этого некоторый алгоритм.
2. Пользователь вводит одноразовый пароль в соответствующее поле окна аутенти-
аутентификации (например, окна Windows удаленного доступа к сети), отображаемого
удаленным клиентом.
3. Удаленный клиент посылает одноразовый пароль серверу идентификационных
карт по сети через сервер удаленного доступа.
4. Сервер идентификационных карт использует тот же алгоритм для проверки того,
что пароль корректен и идентифицирует удаленного пользователя.
Методы использования идентификационных карт
Чаще всего сервер идентификационных карт использует следующие методы.
• Метод согласования времени. В этом случае идентификационная карта содержит
криптографический ключ и генерирует пароль (или маркер) после введения пользо-
пользователем определенного PIN-кода Пароль вводится в ответ на требование удален-
удаленного клиента, который должен переслать пароль серверу маркеров. Пароль прибли-
приблизительно синхронизируется по времени с сервером маркеров. Сервер сравнивает
полученный маркер с маркером, генерируемым на месте. Если маркеры совпадают,
пользователь считается аугентифицированным и получает доступ.
• Метод запроса и подтверждения. В данном случае идентификационная карта
хранит криптографический ключ. Сервер маркеров генерирует случайную стро-
строку цифр и посылает ее удаленному клиенту, требующему доступ к сети. Уда-
Удаленный пользователь вводит эту строку, а идентификационная карта вычисляет
значение некоторой криптографической функции для этой строки, используя
хранимый картой ключ. Результат возвращается серверу маркеров, который
также вычислил значение этой функции. Если результаты совпадают, аутенти-
аутентификация пользователя считается успешной.
Идентификационные карты сегодня имеют программные аналоги в системе уда-
удаленного клиента. Примером такой программной идентификационной карты является
программа SofToken, генерирующая одноразовые пароли без дополнительных расхо-
расходов на аппаратные средства генерирования паролей.
Поддержка Cisco идентификационных карт и серверов
Cisco поддерживает аутентификацию следующих четырех серверов идентификаци-
идентификационных карт в рамках программного обеспечения CiscoSecure ACS.
• CRYPTOCard RB-1 производства CRYPTOCard Corporation;
• SecurlD ACE/Server производства RSA Security, Inc.;
• SafeWord производства Secure Computing Corporation, использующей идентифи-
идентификационную карту DES Gold Card и программную идентификационную карту
SafeWord SofToken;
144 Часть II. Защита удаленного доступа

• Сервер идентификационных карт от Axent Technologies в составе CiscoSecure
ACS 2.4 для Windows NT.
Более подробная информация об этих серверах содержится в публикациях, пред-
представленных в разделе ссылок этой главы.
Аутентификация РАР и CHAP
Важным моментом защиты удаленного доступа является поддержка аутентифика-
аутентификации протоколов PAP (Password Authentication Protocol — протокол аутентификации
пароля) и CHAP (Challenge Handshake Authentication Protocol — протокол аутентифи-
аутентификации с предварительным согласованием вызова). В следующих разделах сравнивается
относительная надежность РАР и CHAP. Сначала мы выясним, как работает аутенти-
аутентификация РАР и CHAP, а затем рассмотрим протокол MS-CHAP (Microsoft Challenge
Handshake Authentication Protocol), являющийся расширением CHAP.
PPP является стандартным протоколом инкапсуляции для транспортировки дан-
данных протоколов сетевого уровня (включая IP, но не ограничиваясь им) через каналы
связи типа PSTN или ISDN. Протокол РРР позволяет выполнять аутентификацию
удаленных клиентов и серверов с помощью РАР или CHAP.
Замечание
Протокол РРР был разработан с целью преодоления ограничений SLIP и в ответ на
необходимость иметь протокол инкапсуляции для последовательных линий, отве-
отвечающий стандартам Internet. Усовершенствованные версии РРР допускают шифрова-
шифрование, контроль ошибок, динамическую адресацию IP, поддержку множества протоко-
протоколов, е также согласование и аутентификацию соединений.
Средства аутентификации в серверах сетевого доступа Cisco настраиваются с по-
помощью команд ааа authentication, которые будут рассматриваться в главах 5 и 6.
Аутентификация РАР для РРР
Аутентификация РАР при использовании протокола РРР обеспечивает удаленному
клиенту простую возможность идентифицировать себя с помощью процедуры двух-
двухстороннего квитирования (рис. 4.7), которая выполняется только после установки со-
соединения РРР. После того как фаза установки соединения завершена, пара "имя
пользователя/пароль" посылается аутентифицирующей стороне до тех пор, пока ау-
аутентификация не завершится успешно или соединение не будет разорвано. В ходе ау-
аутентификации РАР стороны обмениваются следующими сообщениями.
1. Удаленный клиент устанавливает связь.
2. Удаленный клиент сообщает серверу сетевого доступа о том, что используется
протокол РРР.
3. Сервер сетевого доступа, конфигурация которого должна допускать использо-
использование РАР, извещает удаленного клиента о применении РАР в ходе этого се-
сеанса связи.
4. Удаленный клиент посылает имя пользователя и пароль в формате РАР.
5. Сервер сетевого доступа сравнивает имя пользователя и пароль с сохраненными в
базе данных и принимает или отвергает их.
Глава 4. Технология защиты ААА 145

1. Установка соединения —»-
Удаленный клиент
Выполнение РРР
Сервер сетевого доступа
Использование РАР
имя пользователя: John
пароль: nosee
•—[
[John], [nosee]
5,
Подтверждение или отказ I—>~
имя пользователя: John
пароль: nosee
Рис. 4.7. Шаги аутентификации РАР для протокола РРР
Процедура РАР не является очень надежным методом аутентификации. Имя пользова-
пользователя и пароль посылаются в виде открытого текста, поэтому с помощью анализатора про-
протокола пароль можно перехватить. Метод РАР не предлагает никакой защиты против атак
воспроизведения или атак по методу проб и ошибок. Контроль частоты и числа попыток
оставлен на усмотрение сторон. РАР обеспечивает уровень защиты, аналогичный обыкно-
обыкновенной проверке имени пользователя и пароля при доступе к удаленному хосту.
Обычно РАР используется тогда, когда это единственный метод аутентификации, под-
поддерживаемый клиентом, или когда линии связи защищены. Более предпочтительным яв-
является использование CHAP. Оборудование и программное обеспечение большинства по-
поставщиков поддерживают РАР, чтобы обеспечить максимальную совместимость.
Аутентификация CHAP для РРР
Протокол CHAP предлагает более надежный метод аутентификации, чем РАР, по-
поскольку он не предполагает передачу реального пароля по каналу связи. В CHAP для
аутентификации используется процедура трехходового квитирования, которая выпол-
выполняется после установки соединения и затем может повторяться периодически для га-
гарантии аутентичности корреспондента. Процедура инициализации CHAP и трехходо-
трехходовое квитирование выполняются по следующей схеме (также рис 4.8).
1. Соединение РРР создается в результате удаленного вызова. Конфигурация серве-
сервера сетевого доступа должна предполагать поддержку РРР и CHAP.
2. Сервер сетевого доступа предлагает удаленному клиенту использовать CHAP.
3. Удаленный клиент посылает в ответ ОК.
4. Процедура трехходового квитирования состоит их следующих шагов:
а) сервер сетевого доступа посылает сообщение запроса удаленному клиенту;
б) удаленный клиент возвращает значение односторонней функции хэширования;
в) сервер сетевого доступа обрабатывает полученное значение хэширования. Ес-
Если оно совпадает со значением, вычисленным сервером, аутентификация счи-
считается успешной. Пароли при этом не пересылаются.
Протокол CHAP предполагает периодический контроль аутентичности удаленного кли-
клиента с помошью повторного использования процедуры трехходового квитирования. Сервер
сетевого доступа посылает сообщение запроса удаленному узлу. Удаленный узел должен
ответить значением, вычисленным с помощью некоторой односторонней функции хэши-
хэширования (обычно MD5). Сервер сетевого доступа сравнивает ответ с вычисленным им
ожидаемым значением хэширования. Если значения совпадают, аутентификация подтвер-
подтверждается. В противном случае соединение немедленно разрывается.
146
Часть II. Защита удаленного доступа

1. Установка соединения —*~
Удаленный клиент
Выполнение РРР
Сервер сетевого доступа
имя пользователя: john
пароль: nosee
2. -*— Использование CHAP
3. 1
OK
4а. -*—
4Ь
Запрос
имя пользователя: John
пароль: nosee
Ответ [хэш-код]
4с. •*— Подтверждение или отказ
Рис. 4.8. Шаги аутентификации CHAP для протокола РРР
Метод CHAP обеспечивает защиту от атак воспроизведения сообщений путем ис-
использования в запросах уникальных и непредсказуемых значений. Применение по-
повторных запросов ограничивает время возможной атаки. Сервер сетевого доступа (или
сервер защиты типа CiscoSecure TACACS+) может контролировать частоту и время
отправки запросов. Главным преимуществом постоянного изменения строки запроса
является то, что при этом нет смысла перехватывать значения запроса с целью полу-
получения несанкционированного доступа к сети путем его последующего воспроизведе-
воспроизведения, поскольку это значение постоянно меняется. Таким образом, CHAP оказывается
предпочтительнее РАР. Единственной проблемой CHAP до сих пор являлось то, что
этот метод не поддерживался в системах Windows NT. Системы на базе Windows NT
поддерживают MS-CHAP — версию CHAP, предлагаемую Microsoft.
Аутентификация CHAP зависит от "секрета", известного только аутентифицирую-
щей стороне и удаленному клиенту. Этот секрет не пересылается по линии связи. Хо-
Хотя указанная аутентификация является односторонней, посредством выполнения про-
процедуры CHAP в обоих направлениях, один и тот же секрет может использоваться и
для взаимной аутентификации.
Метод CHAP требует, чтобы секрет был доступен сторонам в виде открытого текста.
Поэтому необратимо шифрованные базы данных с паролями (такие, как улей Windows
SAM NT — администратор учетных данных NT) в данном случае не применяются.
Наибольшие усилия производителей сконцентрированы в области разработки и совер-
совершенствования методов аутентификации и, прежде всего, технологий парольного доступа.
Совершенствование методов авторизации и аудита происходит значительно медленнее.
Аутентификация MS-CHAP
MS-CHAP представляет собой версию CHAP, предлагаемую фирмой Microsoft. Это
расширение CHAP, описанное в документе RFC 1994. Использование MS-CHAP позволя-
позволяет осуществить аутентификацию РРР между системой под управлением Microsoft Windows
95, 98, NT или 2000 и сервером сетевого доступа. Аутентификация РРР, использующая
MS-CHAP, может выполняться как вместе с сервисом защиты ААА, так и без него.
MS-CHAP отличается от стандартного метода CHAP.
• MS-CHAP активизируется после установки соединения во время переговоров
удаленного клиента и сервера сетевого доступа о параметрах РРР.
Глава 4. Технология защиты ААА
147

• Пакет ответов MS-CHAP выдержан в формате, соответствующем Microsoft
Windows NT 3.5, 3.51 и 4.0, а также сетевым продуктам Windows 95.
• MS-CHAP позволяет серверу сетевой защиты (аутентифицирующей стороне)
контролировать попытки и механизмы изменения пароля. MS-CHAP дает воз-
возможность удаленному клиенту менять пароль MS-CHAP.
• MS-CHAP определяет набор кодов причин неудач, возвращаемых удаленному
клиенту сервером сетевого доступа.
В маршрутизаторах Cisco для поддержки MS-CHAP предусмотрена команда ррр
authentication ms-chap (реализованная в программном обеспечении Cisco IOS Release
11.3 и более поздних версий).
Маршрутизаторы Cisco поддерживают также двойную аутентификацию для РРР
(Cisco IOS Release 11.3 и более поздние версии). При двойной аутентификации снача-
сначала идентифицируется удаленный хост с помощью РАР или CHAP, а затем пользова-
пользователь, как правило, с помощью одноразовых паролей идентификационных карт, не
поддерживаемых в рамках CHAP. Для получения дополнительной информации о ме-
методах двойной аутентификации обратитесь к разделу "Enabling Double Authentication"
руководства Cisco IOS Security Configuration Guide, Release 12.0.
Методы авторизации
Авторизация ААА позволяет контролировать доступ пользователей к сетевым сер-
сервисам, помогая ограничить доступ к внутренним сетям. С помощью средств авториза-
авторизации можно указать, к каким из команд Cisco IOS каждому пользователю разрешен
доступ. Кроме того, авторизация дает возможность мобильным пользователям соеди-
соединяться с сетью по ближайшей доступной линии связи и иметь те же привилегии дос-
доступа, что и при подключении к своей локальной сети.
Можно задать такую конфигурацию сервера сетевого доступа, при которой после ау-
аутентификации пользователю будет позволено выполнять в сети только определенные дей-
действия. Как и в случае аутентификации, средства авторизации могут использовать либо ло-
локальную базу данных защиты на сервере сетевого доступа, либо удаленную базу данных,
как показано на рис. 4.9. На этом рисунке показана схема аутентификации, предполагаю-
предполагающей контроль доступа к сетевым службам, командам Cisco IOS и определенным сетям.
Для прошедшего аутентификацию пользователя удаленная база данных защиты может по-
потребовать использования списков доступа, хранимых сервером сетевого доступа.
Средства авторизации требуют определить множество атрибутов, описывающих
права пользователя для выполнения определенных действий. Значения атрибутов со-
сохраняются либо в локальной базе данных защиты на сервере сетевого доступа, либо в
удаленной базе данных на сервере защиты. Когда пользователь пытается получить
удаленный доступ к системе, сервер сетевого доступа определяет права пользователя и
ограничивает его возможности, включая возможности получения от базы данных ин-
информации об аутентификации.
Авторизация может выполняться при запросе любого сетевого сервиса, включая
IP, IPX, SLIP, РРР, Telnet, и ARAP. Кроме того, можно определять, разрешается ли
пользователю выполнять команды EXEC на сервере сетевого доступа, а также указать
разрешенные команды и назначить уровни привилегий EXEC. С помощью средств ав-
авторизации можно контролировать и ограничивать доступ к хостам сети, используя
динамические списки доступа.
148 Часть 11. Защита удаленного доступа

Сервер сетевого доступа
выполняет авторизацию:
"Пользователь John
может использовать
сервис РРР"
Пользователь John
Сервер
сетевого доступа
Сервер защиты тоже
может выполнять авторизацию:
• "Пользователь John имеет
привилегии EXEC
при доступе к
маршрутизатору Ь"
• "Пользователь John
имеет право доступа
только к сети 10.1.1.0"
Маршрутизатор В
Рис. 4.9. Авторизация означает контроль доступа пользователя к сети и сетевым сервисам
Средства авторизации в серверах сетевого доступа Cisco настраиваются с помощью
команд ааа authorization, которые будут обсуждаться в главах 5 и 6. Сервер
CiscoSecure тоже может быть настроен на выполнение задач авторизации. Конфигура-
Конфигурация средств авторизации определяется политикой защиты для групп и индивидуаль-
индивидуальных пользователей.
Методы аудита
Средства аудита ААА позволяют следить за числом пользователей сетевых ре-
ресурсов и собирать статистику их доступа к различным службам. Например, сис-
системным администраторам может потребоваться информация о времени использо-
использования ресурсов сети отдельными потребителями или подразделениями предпри-
предприятия (например, информация о суммарном времени связи). Аудит означает сбор
информации такого рода. Средства аудита помогают выявить подозрительные по-
попытки подключения к сети.
Когда средства аудита ААА активизированы, сервер сетевого доступа создает
контрольные записи действий пользователей. Записи аудита сохраняются на сер-
сервере сетевого доступа или могут посылаться удаленной базе данных защиты, как
показано на рис. 4.10. Записи аудита, которые подобны записям системного жур-
журнала (syslog), можно затем импортировать в электронную таблицу или аудитор-
аудиторскую программу, чтобы проанализировать их с точки зрения сетевого управления,
учета и контроля.
Запись аудита состоит из пар атрибут/значение, обычно содержащих имя пользо-
пользователя, сетевой адрес пользователя, имя сервиса, к которому осуществлялся доступ,
время начала и окончания доступа, объем переданных данных, имя сервера сетевого
доступа, к которому был получен доступ, и источник соответствующей записи. Про-
Протоколы RADIUS и TACACS+ удаленной базы данных защиты предлагают специаль-
специальные средства создания и пересылки записей аудита.
Серверы сетевого доступа Cisco с помощью команд ааа accounting могут быть
настроены таким образом, чтобы учитывалась и отображалась информация об ис-
использовании команд EXEC, сетевых служб типа SLIP, РРР и ARA, а также ин-
информация о событиях системного уровня, не связываемых с пользователями (см.
главы 5 и 6).
Глава 4. Технология защиты ААА
149

Сервер сетевого
доступа выполняет аудит
Пользователь John
Сервер
сетевого доступа
Сервер защиты
тоже может
выполнять аудит
Маршрутизатор В
Маршрутизатор может
генерировать записи
системного журнала и
посылать их серверу
системы
Рис. 4.10. Сервер сетевого доступа, маршрутизатор и удаленная база данных гене-
генерируют и обрабатывают информацию аудита
Серверы защиты ААА
Средства ААА в продуктах Cisco поддерживают контроль доступа либо с помошью
локальной базы данных на сервере сетевого доступа, либо с помощью удаленной базы
данных зашиты, использующей протокол защиты ААА. Оба подхода имеют свои плю-
плюсы и минусы. В этом разделе мы рассмотрим применение средств ААА с локальной и
удаленной базами данных зашиты, а также стандарты удаленной базы данных зашиты,
поддерживаемые средствами ААА Cisco.
ААА и локальная база данных защиты
Если требуется обеспечить доступ к сети небольшому числу удаленных пользовате-
пользователей через один-два сервера сетевого доступа, можно хранить информацию об их име-
именах и паролях на сервере сетевого доступа. Такой подход называют локальной аутен-
аутентификацией, или аутентификацией с помощью локальной базы данных зашиты. Ниже
указаны особенности использования средств ААА с локальной базой данных зашиты.
• Локальная аутентификация подходит для малых сетей с небольшим числом
удаленных пользователей и серверов сетевого доступа.
• Имена пользователей, пароли и параметры авторизации хранятся в локальной
базе данных защиты на сервере сетевого доступа.
• Удаленные пользователи проходят аутентификацию и авторизацию с помощью
локальной базы данных зашиты.
• Авторизация и аудит при использовании локальной базы данных зашиты имеют
ограниченную поддержку.
• Контроль доступа с помошью локальной базы данных защиты позволяет сэко-
сэкономить на установке и поддержке удаленной базы данных зашиты.
150
Часть II. Защита удаленного доступа

Аутентификация с использованием локальной базы данных зашиты обычно вы-
выполняется так, как показано на рис. 4.11. Сначала с помощью команд ААА необходи-
необходимо в локальной базе данных зашиты каждого сервера сетевого доступа указать соот-
соответствующие параметры для каждого из возможных пользователей. Процесс ААА со-
состоит из следующих шагов.
1. Удаленный пользователь устанавливает соединение РРР с сервером сетевого доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль.
3. Сервер сетевого доступа выполняет аутентификацию имени и пароля с помощью
локальной базы данных.
4. Сервер сетевого доступа выполняет процедуру авторизации, в результате чего
пользователь получает право доступа к сетевым сервисам и другим ресурсам в со-
соответствии со значениями, заданными в локальной базе данных.
5. Сервер сетевого доступа следит за трафиком пользователя и создает записи аудита
в соответствии со значениями, заданными в локальной базе данных.
Сервер
сетевого
доступа
1.РРР
3. Аутентификация
4. Авторизация
5. Создание записей аудита
2. Приглашение
Удаленный
пользователь
Рис. 4.11. Локальная база данных защиты, выполняющая задачи ААА
ААА и удаленная база данных защиты
По мере роста сети все более остро встает вопрос о необходимости использования
удаленной базы данных защиты, которая обеспечивала бы информацию об именах
пользователей и паролях всем серверам сетевого доступа и маршрутизаторам сети.
Удаленная база данных защиты размешается на сервере защиты.
Удаленную базу данных защиты удобно использовать тогда, когда имеется большое
число серверов сетевого доступа, контролирующих доступ к сети. Такая база данных
позволяет централизованно управлять файлами профилей (т.е. параметрами доступа)
удаленных пользователей, что избавляет от необходимости менять файлы профилей
каждого удаленного пользователя на всех серверах сетевого доступа. Удаленная база
данных зашиты помогает создать и реализовать согласованную политику защиты уда-
удаленного доступа для всех подразделений корпорации.
Рассмотрим особенности использования средств ААА с удаленной базой данных
зашиты.
• Аутентификация с помощью удаленной базы данных зашиты оптимальна для
средних и больших сетей с большим числом удаленных пользователей и мно-
множеством серверов сетевого доступа, когда затраты на содержание сервера заши-
зашиты могут быть оправданы.
• Имена пользователей, пароли и параметры авторизации централизованно хра-
хранятся в удаленной базе данных защиты на сервере зашиты.
Глава 4. Технология защиты ААА 151

• Удаленные пользователи проходят процедуры аутентификации и авторизации с
помощью удаленной базы данных защиты.
• Авторизация и аудит поддерживаются сервером сетевого доступа с использова-
использованием удаленной базы данных защиты.
• Удаленная база данных защиты может использоваться для контроля доступа к
серверу сетевого доступа или к сети через сервер сетевого доступа. Некоторые
протоколы удаленной базы данных защиты поддерживают контроль доступа к
маршрутизаторам, коммутаторам Ethernet и брандмауэрам. Удаленная база дан-
данных защиты применяется для контроля доступа к сетевому оборудованию, под-
поддерживающему стандартные протоколы удаленного доступа.
• Централизованный контроль посредством удаленной базы данных защиты позволя-
позволяет сэкономить средства, избавляя от необходимости управлять каждым сервером се-
сетевого доступа в отдельности. Для защиты базы данных необходимо, чтобы содер-
содержащий ее хост был защищен с максимальной степенью надежности. Некоторые ре-
рекомендации относительно усиления защиты узлов сети содержатся в главе 1.
Аутентификация с использованием удаленной базы данных защиты обычно вы-
выполняется так, как показано на рис. 4.12. Сначала необходимо заполнить локальную
базу данных защиты каждого сервера сетевого доступа, описав соответствующие пара-
параметры для каждого из возможных пользователей. Кроме того, необходимо настроить
сервер сетевого доступа (и другое сетевое оборудование) на взаимодействие с удален-
удаленной базой данных защиты при выполнении операций ААА. Процесс ААА в данном
случае состоит из следующих шагов.
1. Пользователь устанавливает соединение РРР с сервером сетевого доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль, и пользова-
пользователь предъявляет соответствующие данные.
3. Сервер сетевого доступа передает имя пользователя и пароль серверу защиты.
4. Удаленная база данных защиты выполняет процедуру аутентификации и авториза-
авторизации для данного пользователя и предоставляет ему соответствующие права доступа
в сети. База данных на самом деле изменяет конфигурацию сервера сетевого досту-
доступа в соответствии с параметрами аутентификации, загружая необходимые команды
в сервер сетевого доступа и активизируя соответствующие списки доступа.
5. Сервер сетевого доступа создает записи аудита в соответствии с параметрами уда-
удаленной базы данных защиты и посылает эти записи серверу защиты. Сервер за-
защиты тоже может создавать записи аудита.
Основным преимуществом использования удаленной базы данных защиты являет-
является то, что вследствие централизованного управления упрощается администрирование
и обеспечивается согласованная реализация политики защиты в отношении удален-
удаленного доступа, доступа по телефонным линиям связи и управления маршрутизаторами.
Стандарты базы данных защиты,
поддерживаемые Cisco
Существует несколько стандартов удаленной базы данных защиты, призванных обеспе-
обеспечить унифицированный подход к управлению доступом к сети. Эти стандарты поддержи-
152 Часть II. Защита удаленного доступа

ваются многими приложениями, среди которых есть как условно-бесплатные, так и ком-
коммерческие продукты.
Сервер
сетевого
доступа
1.РРР
2. Приглашения сервера
Удаленный
пользователь
Удаленная база
данных защиты
4. Авторизация
О.
5. Аудит
3. Передача имени
пользователя и
пароля базе данных
Рис. 4.12. Удаленная база данных защиты позволяет централизованно управлять ис-
использованием средств ААА
Сетевое оборудование Cisco поддерживает три протокола сервера защиты —
TACACS+, RADIUS и Kerberos. TACACS+ и RADIUS являются главными протоко-
протоколами сервера защиты, используемыми для решения задач ААА с серверами сетевого
доступа, маршрутизаторами и брандмауэрами. Эти протоколы применяются при
обмене информацией об управлении доступом между сервером защиты и сетевым
оборудованием. Cisco также предлагает поддержку протоколов TACACS+ и RADIUS
для CiscoSecure ACS.
Семейство серверов сетевого доступа и маршрутизаторов Cisco, пользовательский
интерфейс Cisco IOS и PIX Firewall поддерживают взаимодействие с серверами защи-
защиты, использующими TACACS+ и RADIUS.
Серверы защиты TACACS+ или RADIUS взаимодействуют с сетевым оборудова-
оборудованием так, как будто они являются серверами сетевого доступа. На рис. 4.13 сервер се-
сетевого доступа выступает в роли клиента TACACS+ или RADIUS по отношению к
серверу защиты TACACS+ или RADIUS. Для обмена информацией о событиях ААА
между клиентом и сервером используется протокол TACACS+ или RADIUS.
В следующих разделах TACACS+, RADIUS, Kerberos и CiscoSecure ACS будут рас-
рассмотрены подробнее.
TACACS+
TACACS+ представляет собой приложение сервера защиты, позволяющее на ос-
основе соответствующего протокола реализовать централизованное управление досту-
доступом пользователей к серверу сетевого доступа, маршрутизатору или другому сетево-
сетевому оборудованию, поддерживающему TACACS+. Информация о сервисах TACACS+
и пользователях хранится в базе данных, обычно размещаемой на компьютере под
управлением UNIX или Windows NT. TACACS+ позволяет с помощью одного сер-
сервера управления приложениями (демона TACACS+) реализовать независимую под-
поддержку сервисов ААА.
Глава 4. Технология защиты ААА
153

Удаленный
пользователь
Сервер
сетевого
доступа
Сервер
защиты
TACACS+/RADIUS
Клиент
TACACS+/RADIUS
Клиент
TACACS+/RADIUS
Протокол TACACS+/RADIUS
Рис. 4.13. Поддержка TACACS+ или RADIUS сервером сетевого доступа, маршрутизатором и уда-
удаленной базой данных защиты
Версии TACACS
Имеется три версии приложений сервера защиты TACACS.
• TACACS (Terminal Access Controller Access Control System — система управления
доступом к контроллеру терминального доступа). Описанный в документе
RFC 1492 промышленный стандарт протокола, предполагающий передачу име-
имени пользователя и пароля централизованному серверу. Централизованный сер-
сервер может представлять собой либо базу данных TACACS, либо базу данных
типа файла паролей UNIX с поддержкой протокола TACACS. Например, сервер
UNIX с поддержкой TACACS может передавать запросы базе данных UNIX и
возвращать сообщения подтверждения или отказа серверу доступа.
• XTACACS. Определяет расширения, добавленные Cisco к протоколу TACACS
для поддержки новых и расширенных возможностей. Стандарт XTACACS явля-
является многопротокольным; он поддерживает авторизацию соединений, исполь-
использующих SLIP, режим enable, PPP (IP или IPX), ARA, EXEC и Telnet. XTACACS
поддерживает отправку информации аудита хосту UNIX от множества серверов
TACACS и syslog, соединяет пользователя с "оболочкой" сервера доступа в со-
соответствии с результатами аутентификации, а также может инициализировать
соединения Telnet, SLIP, PPP или ARA после начальной аутентификации.
XTACACS был вытеснен TACACS+.
• TACACS+. Улучшенная и постоянно совершенствуемая версия TACACS позволяет
серверу TACACS+ обеспечивать независимое использование сервисов ААА. Под-
Поддержка ААА является модульной, так что каждая из возможностей по существу яв-
является отдельным сервером. Каждый сервис может связываться со своей базой дан-
данных либо использовать другие сервисы сервера или сети. Поддержка TACACS+
появилась в Cisco IOS Release 10.3. TACACS+ представляет собой совершенно но-
новую версию протокола TACACS, ссылающуюся на документ RFC 1492 и разрабаты-
разрабатываемую Cisco. Он несовместим с XTACACS. TACACS+ был представлен па рас-
рассмотрение IETF (Internet Engineering Task Force — проблемная группа проектирова-
проектирования Internet) в качестве проекта стандарта.
154
Часть II. Защита удаленного доступа

TACACS и XTACACS в программном обеспечении Cisco IOS официально пред-
представлены как протоколы, дальнейшее сопровождение и совершенствование которых
компания Cisco прекращает. Кроме того, сопровождение бесплатно предлагаемого
Cisco программного кода сервера TACACS и XTACACS тоже официально прекраще-
прекращено. Дальнейшее совершенствование и сопровождение этих продуктов компанией
Cisco не планируется. Однако активное независимое сообщество пользователей уже
предлагает некоторые усовершенствования этих протоколов.
Свойства TACACS+
TACACS+ поддерживает следующие возможности сервера защиты.
• Пакеты TCP для надежной передачи данных. Использование TCP в качестве
протокола связи для соединений TACACS+ между сервером сетевого доступа и
сервером защиты. Для TACACS+ резервируется ТСР-порт 49.
• Архитектура ААА. Каждый сервис предоставляется отдельно и имеет собственную
базу данных, но, тем не менее, они работают вместе, как один сервер защиты.
• Канальное шифрование. Часть TCP-пакета, содержащая данные протокола
TACACS+, шифруется с целью защиты трафика между сервером сетевого доступа и
сервером защиты.
• Каждый пакет TACACS+ имеет 12-байтовый заголовок, пересылаемый в виде от-
открытого текста, и тело переменной длины, содержащее параметры TACACS+. Тело
пакета шифруется с помощью алгоритма, использующего псевдослучайный за-
заполнитель, получаемый посредством MD5. Пакеты TACACS+ передаются по сети
и хранятся сервером TACACS+ в шифрованном виде. Когда это необходимо, па-
пакет дешифруется сервером сетевого доступа или приложением TACACS+ путем
обращения алгоритма шифрования.
• Аутентификация РАР и CHAP. Обеспечивает полный контроль аутентификации
с помощью средств вызова/ответа РАР и CHAP, а также посредством использо-
использования диалоговых окон ввода пароля доступа и поддержки сообщений интерак-
интерактивной процедуры начала сеанса.
• Защита локальных и глобальных сетей. Поддержка средств ААА удаленного и
локального сетевого доступа для серверов сетевого доступа, маршрутизаторов и
другого сетевого оборудования, поддерживающего TACACS+. Дает возможность
осуществлять централизованное управление сетевым оборудованием.
• Протоколы инкапсуляции для удаленного доступа. Поддерживают использование
SLIP, РРР и ARAP, а также адресацию TN3270 и Х.121 в рамках Х.25.
• Поддержка автокоманд. Автокоманды автоматически выполняются для пользо-
пользователя, если они внесены в конфигурацию базы данных TACACS+ и поддержи-
поддерживаются сервером сетевого доступа.
• Функция обратного вызова. Данная функция возвращает телефонные вызовы,
заставляя сервер сетевого доступа звонить соответствующему пользователю, что
может дать дополнительные гарантии защиты пользователям, использующим
доступ по телефонным линиям.
• Индивидуальные списки доступа пользователей. База данных TACACS+ может
дать указание серверу сетевого доступа контролировать доступ данного пользо-
пользователя к сетевым службам и ресурсам в течение фазы авторизации на основе
списка доступа, созданного в ходе предыдущего сеанса связи.
Глава 4. Технология защиты ААА 155

Процесс аутентификации TACACS+
Заголовок пакета TACACS+ содержит поле типа, являющееся признаком того, что
пакет представляет собой часть процесса ААА. Аутентификация TACACS+ различает
три типа пакетов: START (начало), CONTINUE (продолжение) и REPLY (ответ). Рас-
Рассмотрим процесс аутентификации TACACS+, в котором сервер сетевого доступа об-
обменивается пакетами аутентификации с сервером TACACS+ (рис. 4.14).
1. Сервер сетевого доступа посылает пакет START серверу защиты TACACS+, чтобы
начать процесс аутентификации.
2. Процесс аутентификации на сервере защиты TACACS+ обычно возвращает сер-
серверу сетевого доступа пакет GETUSER, содержащий запрос имени пользователя.
3. Сервер сетевого доступа запрашивает имя пользователя и посылает введенное
имя серверу защиты TACACS-f в пакете CONTINUE.
4. Сервер защиты TACACS+ посылает серверу сетевого доступа пакет GETPASS,
содержащий запрос пароля. Сервер сетевого доступа выдает запрос пароля поль-
пользователю.
5. Сервер сетевого доступа посылает серверу защиты TACACS+ пакет CONTINUE,
содержащий пароль, введенный пользователем.
6. Сервер защиты TACACS-f проверяет пароль, используя для этого информацию из
файла конфигурации TACACS+, и решает, успешно ли завершен процесс аутен-
аутентификации данного пользователя. В результате серверу сетевого доступа возвра-
возвращается либо пакет PASS (успех), либо пакет FAIL (неудача), указывающий ре-
результат аутентификации.
Сервер
сетевого
доступа
нкЯпЯ
ЧяИИ
1. —
6.М—
START
GETUSER
CONTINUE
GETPASS
¦¦¦¦I
CONTINUE
PASS/FAIL
-
—
^ Сервер
защиты
TACACS+
—
Рис. 4.14. Процесс аутентификации TACACS+
156
Часть II. Защита удаленного доступа

Процесс авторизации TACACS+
В процессе авторизации TACACS+ используется два типа пакетов: REQUEST
(запрос) и RESPONSE (ответ). Данный процесс авторизации пользователя контроли-
контролируется посредством обмена парами "атрибут/значение" между сервером защиты
TACACS+ и сервером сетевого доступа. Рассмотрим процесс авторизации TACACS+,
в котором сервер сетевого доступа обменивается пакетами авторизации с сервером
TACACS+ (рис. 4.15).
1. Сервер сетевого доступа посылает пакет REQUEST серверу защиты TACACS+.
Данный пакет содержит фиксированный набор полей, идентифицирующих поль-
пользователя или процесс, а также переменный набор аргументов, описывающих сер-
сервисы и параметры, необходимые для авторизации.
2. Сервер защиты TACACS+ возвращает серверу сетевого доступа пакет RESPONSE,
содержащий переменный набор аргументов ответа (пары "атрибут/значение"). Эти
пары строятся на основе ранее заданных разрешений для данного пользователя,
хранимых в файле конфигурации TACACS+. Вот несколько примеров таких пар.
service = ррр — исходно доступный сервис
protocol = ip — протокол, доступный для использования с указанным сервисом
addr = 172.16.10.1 — авторизованный сетевой адрес
timeout = 12 — абсолютный таймер, ограничивающий длительность соединения в
минутах
3. Сервер сетевого доступа использует пары "атрибут/значение" для того, чтобы за-
запретить, разрешить или модифицировать возможности использования команд и
сервисов, запрашиваемых пользователем.
Сервер
сетевого
доступа
1.
2.-
REQUEST
Сервер
защиты
TACACS+
RESPONSE
3. Сервер сетевого
доступа запрещает
или разрешает
Рис. 4.15. Процесс авторизации TACACS+
Процесс аудита TACACS+
В процессе аудита TACACS+ используется два типа пакетов — REQUEST (запрос)
и RESPONSE (ответ). Данный процесс во многом подобен процессу авторизации. В
процессе аудита создаются записи с информацией об активности пользователя в от-
отношении заданных сервисов. Записи, регистрирующие выполненные сетевым обору-
оборудованием действия, могут сохраняться в некотором стандартном формате, например в
файле xsv (comma-separated value — разделенные запятыми значения), на сервере за-
защиты с целью дальнейшего анализа.
В рамках TACACS+ аудит ААА не является средством надежной защиты и обычно
используется только для учета или управления. Однако с помощью аудита ААА можно
Глава 4. Технология защиты ААА
157

контролировать действия пользователя, чтобы, например, вовремя заметить его не-
необычное поведение при работе с сетевым оборудованием.
Рассмотрим процесс аудита TACACS+, в котором сервер сетевого доступа обмени-
обменивается пакетами аудита с сервером TACACS+ (рис. 4.16).
1. Сервер сетевого доступа посылает серверу защиты TACACS+ пакет REQUEST
аудита, содержащий фиксированный набор полей, идентифицирующих пользова-
пользователя или процесс. Этот пакет содержит запись, состоящую из переменного набора
полей (пар "атрибут/значение"), описывающих сервисы, для которых должны
создаваться записи аудита в зависимости от определенных событий и методов ау-
аудита. Пары "атрибут/значение" аналогичны тем, которые используются для авто-
авторизации, но дополнительно применяются пары, характеризующие время начала и
окончания записи аудита, а также общее время, затраченное на ее создание.
2. Сервер защиты TACACS+ посылает серверу доступа пакет RESPONSE и под-
подтверждает получение контрольной записи. Этот пакет указывает, что функция ау-
аудита на сервере защиты TACACS+ выполнена и что запись создана и сохранена.
Сервер
сетевого
доступа
REQUEST
(запрос учетной
записи)
Сервер
защиты
TACACS+
RESPONSE
Рис. 4.16. Процесс аудита TACACS+
RADIUS
RADIUS (Remote Access Dial-In User Service — сервис идентификации удаленных
абонентов) представляет собой распределенный протокол, используемый в рамках тех-
технологии клиент/сервер и обеспечивающий защиту сети от несанкционированного дос-
доступа. Cisco поддерживает RADIUS как одну из составляющих системы защиты ААА.
Рассматриваемый протокол скорее объединяет аутентификацию и авторизацию, чем
трактует их отдельно, как это делается в отношении аудита. Протокол RADIUS может
использоваться с другими протоколами защиты ААА, например с TACACS+, Kerberos и
локальными базами данных защиты. Данный протокол был разработан компанией
Livingston Enterprises (теперь находящейся в составе Lucent Technologies). Протокол
RADIUS описывается в документе RFC 2865, а аудит RADIUS — в RFC 2866.
Протокол RADIUS реализован во многих сетевых средах, требующих высокого
уровня зашиты при условии поддержки сетевого доступа для удаленных пользовате-
пользователей. Он представляет собой полностью открытый протокол, поставляемый в формате
исходного текста, который можно изменить для того, чтобы он мог работать с любой
доступной в настоящий момент системой защиты. Широкую популярность RADIUS
обеспечивает возможность добавлять новые пары "атрибут/значение" в дополнение к
тем, которые описаны в документе RFC 2865. Протокол RADIUS имеет атрибут по-
поставщика (атрибут 26), позволяющий поставщику осуществлять поддержку своих соб-
собственных расширенных наборов атрибутов, включающих нестандартные атрибуты.
Вследствие использования пар "атрибут/значение" конкретных поставщиков могут
возникать трудности при интеграции серверных продуктов защиты RADIUS в другие
системы защиты. Серверы защиты RADIUS и соответствующие клиенты должны иг-
158
Часть II. Защита удаленного доступа

иорировать нестандартные пары "атрибут/значение", созданные конкретными по-
поставщиками.
Cisco осуществляет поддержку клиентов RADIUS посредством набора серверов се-
сетевого доступа, маршрутизаторов, коммутаторов Ethernet, брандмауэров PIX, концен-
концентраторов VPN 3000 и CiscoSecure ACS.
Версии RADIUS
Существует множество версий RADIUS, основными из которых являются следующие.
• Реализация IETF. Разработанная компанией Livingston Enterprises, теперь вхо-
входящей в состав Lucent Technologies, реализация IETF протокола RADIUS опи-
описывается в документе RFC 2865, а аудит RADIUS — в документе RFC 2866.
Поддерживает примерно 63 атрибута.
• Реализация Cisco. Начиная с Cisco IOS Release 11.2, с каждой новой версией
Cisco IOS и CiscoSecure ACS число поддерживаемых этой реализацией атрибу-
атрибутов растет, а ее функциональные возможности постоянно расширяются. В на-
настоящее время поддерживается примерно 58 атрибутов.
• Реализация Ascend. Компания Ascend постоянно добавляет атрибуты поставщи-
поставщика, обеспечивающие, например, поддержку кэширования маркеров доступа и
изменения пароля. Программный интерфейс приложения (API) дает возмож-
возможность быстрой разработки новых расширений, в результате чего другим по-
поставщикам трудно конкурировать с этой компанией в области предложения но-
новинок. Хотя протокол RADIUS был изначально разработан компанией
Livingston Enterprises, последняя уступила лидерство Ascend. Эта реализация
поддерживает более 254 атрибутов.
• Реализации других поставщиков. Доступны реализации RADIUS и других по-
поставщиков.
• Merit представляет собой версию для UNIX и LINUX. Дополнительная ин-
информация доступна по адресу: www.merit.net/radius/.
• Internet Authentication Service (сервис аутентификации Internet) для Microsoft
Windows 2000 также предполагает поддержку RADIUS (см. www.microsoft.com/
windows2000/library/howitworks/communications/remoteaccess/ias.asp).
• Funk Steel-Belted RADIUS компании Funk Software (см. www.funk.com/
Default.htm).
Возможности RADIUS
RADIUS поддерживает следующие возможности сервера защиты.
• Пакеты UDP. Для связи RADIUS между сервером сетевого доступа и сервером
защиты используется протокол UDP и UDP-порт 1812, официально назначен-
назначенный для этого. Некоторые реализации RADIUS используют UDP-порт 1645.
Использование UDP упрощает реализацию клиента и сервера RADIUS.
• Объединение аутентификации и авторизации и выделение аудита. Сервер RADIUS по-
получает запросы пользователя, выполняет аутентификацию и обеспечивает клиенту
информацию о конфигурации. Аудит выполняется сервером аудита RADIUS.
• Шифрование паролей пользователей. Пароли, содержащиеся в пакетах RADIUS (a
это только пользовательские пароли), шифруются посредством хэширования MD5.
Глава 4. Технология защиты ААА 159

• Аутентификация РАР и CHAP. Обеспечивает управление аутентификацией с по-
помощью средств вызова/ответа РАР и CHAP, а также посредством диалога нача-
начала сеанса и ввода пароля наподобие входа в систему UNIX.
• Защита глобальной сети. Обеспечивает поддержку средств ААА удаленного доступа
для серверов сетевого доступа многих поставщиков, поддерживающих клиентов
RADIUS. Дает возможность централизовать управление удаленным доступом.
• Протоколы группы SLIP, РРР и ARAP. Поддерживаются также Telnet, rlogin и
LAT (Local Area Transport — протокол доступа к терминалу в сетях DECnet).
• Автокоманды. Пользователь может автоматически выполнить команду, если она
указана в базе данных RADIUS и поддерживается сервером сетевого доступа.
• Функция обратного вызова. Данная функция возвращает телефонные вызовы,
заставляя сервер сетевого доступа звонить соответствующему пользователю, что
может дать дополнительные гарантии защиты пользователям, использующим
доступ по телефонным линиям.
• Расширяемость. Все транзакции предполагают использование пар
"атрибут/значение" переменной длины. Новые атрибуты могут быть добавлены
в существующие реализации протокола. Протокол разрешает производителям
добавлять новые атрибуты с помощью атрибута поставщика.
• Гарантированная сетевая защита. Аутентификация транзакций между клиентом
и сервером защиты RADIUS предполагает использование общего секретного
значения.
Процесс аутентификации и авторизации RADIUS
Клиент RADIUS и сервер защиты RADIUS обмениваются пакетами Access-Request
(доступ-запрос), Access-Accept (доступ-подтверждение), Access-Reject (доступ-отказ) и
Access-Challenge (доступ-вызов). Как показано на рис. 4.17, при попытке подключить-
подключиться к серверу сетевого доступа, имеющему конфигурацию клиента RADIUS, выполня-
выполняются следующие шаги.
1. Пользователь инициализирует запрос аутентификации РРР к серверу сетевого
доступа.
2. У пользователя запрашивается имя и пароль, и он вводит их.
3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Acces-Request,
содержащий имя пользователя, шифрованный пароль и другие атрибуты.
4. Сервер защиты RADIUS идентифицирует посылающего клиента, выполняет ау-
аутентификацию пользователя, проверяет параметры авторизации пользователя и
возвращает один из следующих ответов.
Access-Accept — пользователь аутентифицирован.
Access-Reject — пользователь не аутентифицирован, и сервер сетевого доступа ли-
либо предлагает ввести имя пользователя и пароль снова, либо запрещает доступ.
Access-Challenge — вызов является дополнительной возможностью сервера защи-
защиты RADIUS, позволяющей получить дополнительные данные о пользователе,
чтобы послать их серверу защиты RADIUS.
5. Сервер сетевого доступа обращается к параметрам аутентификации, разрешаю-
разрешающим использование конкретных служб.
160 Часть II. Защита удаленного доступа

6. Ответ Access-Accept или Access-Reject связывается с дополнительными данными
(парами "атрибут/значение"), используемыми для сеансов EXEC и авторизации.
Процесс аутентификации RADIUS должен быть завершен до начала процесса ав-
авторизации. Дополнительные данные в пакетах Accept или Reject состоят из пар
"атрибут/значение" для следующих объектов:
• сервисы, к которым разрешается доступ пользователю, включая Telnet,
rlogin, а также соединения LAT и РРР;
• сервисы EXEC и SLIP;
• параметры соединения, включая IP-адреса клиента и хоста, список доступа
и ограничения времени.
7. Сервер защиты RADIUS может периодически посылать пакеты Access-Challenge
серверу сетевого доступа, чтобы потребовать повторного введения имени и паро-
пароля пользователем, информировать о состоянии сервера сетевого доступа или вы-
выполнить какие-то другие действия, предусмотренные разработчиками сервера
RADIUS. Клиент RADIUS не может посылать пакеты Access-Challenge.
1.2.
3.
Тип пакета = Access-Request
Сервер 4.
сетевого
доступа 6
Сервер
защиты
RADIUS
Access-Accept/ Access-Reject
Access-Challenge (дополнительно)
Рис. 4.17. Процесс аутентификации и авторизации RADIUS
Процесс аудита RADIUS
Протокол RADIUS был усовершенствован с тем, чтобы обеспечить доставку ин-
информации аудита от клиента RADIUS серверу аудита RADIUS через UDP-порт 1813.
Клиент RADIUS отвечает за отправку информации аудита пользователя соответст-
соответствующему серверу аудита RADIUS, для чего используется пакет типа Accounting-
Request (аудит-запрос) с соответствующим набором пар "атрибут/значение".
Сервер аудита RADIUS должен принять запрос аудита и вернуть ответ, подтвер-
подтверждающий успешное получение запроса. Для этого используется пакет типа Account-
Accounting-Response (аудит-ответ).
Как видно из рис. 4.18, при попытке подключиться к серверу сетевого доступа,
имеющему конфигурацию клиента RADIUS, выполняются следующие шаги.
1. После исходной аутентификации сервер сетевого доступа посылает серверу защи-
защиты RADIUS старт-пакет Accounting-Request.
2. Сервер защиты RADIUS подтверждает получение старт-пакета, возвращая пакет
Accounting- Response.
Глава 4. Технология защиты ААА
161

3. По окончании использования сервиса сервер сетевого доступа посылает стоп-
пакет Accounting-Request; в этом пакете указываются тип предоставленного сер-
сервиса и дополнительные статистические данные.
4. Сервер защиты RADIUS подтверждает получение стоп-пакета, возвращая пакет
Accounting- Response.
Сервер
сетевого
доступа
1.
2.
3.
4.
Accounting-Request (старт)
Accounting-Response
Accounting-Request (стоп)
Сервер
защиты
RADIUS
Accounting-Response
Рис. 4.18. Процесс аудита RADIUS
Атрибуты RADIUS
Данные атрибуты содержат конкретные параметры аутентификации и авторизации,
а также другую необходимую информацию. Атрибуты присоединяются к концу пакета
RADIUS. Можно присоединить один или несколько атрибутов сразу. Конец списка
атрибутов определяется общей длиной пакета RADIUS.
Формат атрибута показан на рис. 4.19; поля передаются слева направо.
Октет
О 1 2
Тип
Длина
Значение
Рис. 4.19. Формат атрибута RADIUS, вклю-
включающий поля типа, длины и значения
Атрибуты RADIUS состоят из полей типа, длины и значения.
• Ъш. Имеет длину, равную одному октету. Указывает общий тип атрибута RADIUS.
Одним из возможных значений этого поля является 1 (User-Name); это говорит о
том, что поле значения содержит имя пользователя. Тип 26 (Vendor-Specific) указы-
указывает поставщика RADIUS или пользователя и определяет поля длины и значения.
• Длина. Имеет длину, равную одному октету. Указывает длину атрибута, включая
поля типа, длины и значения.
• Значение. Поле нулевой или большей длины, равной целому числу октетов. Со-
Содержит конкретную информацию, предоставляемую данным атрибутом. Формат
и длина поля значения определяются полями типа и длины.
Сравнение TACACS+ и RADIUS
Хотя TACACS+ и RADIUS очень похожи по своим функциональным возможно-
возможностям, они имеют несколько важных отличий, указанных в табл. 4.4.
162
Часть II. Защита удаленного доступа

Функциональные
возможности
TACACS+
RADIUS
Поддержка AM
Транспортный протокол
Вызов/ответ
Поддержка протоколов
Целостность данных
Разделение трех сервисов ААА
TCP
Двунаправленный
Полная поддержка
Шифруется весь пакет TACACS+
Аутентификация и авторизация объеди-
объединяются, а аудит отделяется
UDP
Однонаправленный
Отсутствует поддержка NetBEUI
Шифруются только пароли пользователей
• Функциональные возможности. TACACS+ разделяет функции ААА в соответст-
соответствии с архитектурой ААА, тем самым обеспечивая модульность реализации сер-
сервера защиты. RADIUS объединяет аутентификацию и авторизацию, а аудит
рассматривается отдельно, что означает меньшую гибкость реализации.
• Транспортный протокол. Использование протокола UDP для RADIUS (вместо
TCP, как в TACACS+) было выбрано с целью упрощения реализации клиента и
сервера. Но это делает протокол RADIUS менее устойчивым и требует допол-
дополнительных мер надежности от сервера (ретрансмиссии пакетов и использования
ограничений по времени, вместо тотоутобы полагаться на протокол 4-го уров-
уровня (транспортный уровень в модели OSI)).
• Вызов/ответ. TACACS+ поддерживает двунаправленный поток вызовов/ответов
между серверами сетевого доступа подобно тому, как это сделано в CHAP.
RADIUS поддерживает однонаправленный вызов/ответ от сервера защиты
RADIUS к клиенту RADIUS.
• Поддержка протоколов. TACACS+ обеспечивает более полную поддержку про-
протоколов удаленного и межсетевого доступа.
• Целостность данных. TACACS+ предполагает шифрование содержимого паке-
пакетов. RADIUS предусматривает шифрование только атрибутов пароля в пакете
Access-Request. Это означает лучшую защищенность TACACS+.
Кроме того, сравнивая TACACS+ и RADIUS, можно отметить следующее.
• Возможности настройки. Гибкость протокола TACACS+ обеспечивает возмож-
возможность настройки множества параметров в соответствии с требованиями отдель-
отдельных пользователей (например, настройка запроса имени пользователя и паро-
пароля). Из-за недостаточной гибкости RADIUS многие возможности, доступные в
рамках TACACS+, при использовании RADIUS недоступны (например, ката-
каталоги сообщений). С другой стороны, RADIUS поддерживает возможность из-
изменения наборов пар "атрибут/значение".
• Процесс авторизации. При использовании TACACS+ сервер принимает или от-
отвергает запрос аутентификации на основании данных пользовательского профи-
профиля. Клиенту (серверу сетевого доступа) содержимое пользовательского профиля
остается неизвестным. В системе RADIUS все посылаемые с ответом атрибуты
пользовательского профиля передаются серверу сетевого доступа. Сервер сетевого
доступа принимает или отвергает запрос аутентификации на основании получен-
полученных им значений атрибутов.
Глава 4. Технология защиты ААА
163

• Аудит. Аудит TACACS+ предполагает использование ограниченного числа ин-
информационных полей. Аудит RADIUS может предоставить больше информа-
информации, чем можно получить из записей аудита TACACS+, что является главным
преимуществом RADIUS в сравнении с TACACS+.
Kerberos
Kerberos — это протокол аутентификации, задачей которого является ратификация
запросов к сетевым службам и ресурсам в открытой незащищенной сети. Kerberos был
создан в Массачусетсском технологическом институте (МТИ) с целью контроля дос-
доступа к сетевым службам со стороны хостов университетской сети, которые не под-
подвергались административному контролю. Система Kerberos использует алгоритм шиф-
шифрования DES (см. главу 13).
Для защищенной верификации пользователей и сервисов система Kerberos полага-
полагается на надежное приложение третьей стороны, называемое центром распределения
ключей (Key Distribution Center — KDC); это во многом подобно тому, как компания,
занимающаяся вопросами собственности, предоставляет услуги условного депониро-
депонирования при сделках с недвижимостью. Kerberos предполагает хранение базы данных
своих клиентов в системе KDC.
Главной задачей применения Kerberos является гарантия того, что пользователи,
получающие доступ к сетевым службам, действительно являются теми, за кого себя
выдают. Чтобы выполнить верификацию, система KDC Kerberos выдает пользовате-
пользователям мандаты, которые имеют ограниченный срок действия. Они сохраняются в кэше
мандатов пользователя и могут использоваться вместо стандартного механизма аутен-
аутентификации, предполагающего применение имен пользователей и паролей.
Kerberos реализует принцип однократной идентификации. Аутентификация поль-
пользователя выполняется только один раз, с последующей защищенной аутентификацией
(без шифрования другого пароля) при предъявлении пользовательского мандата дру-
другим сетевым службам.
Программные компоненты Kerberos свободно распространяются МТИ в виде ис-
исходного кода С при условиях, указанных в соответствующем лицензионном соглаше-
соглашении. Последней из выпущенных МТИ версий является Kerberos 5. Доступны и ком-
коммерческие версии Kerberos многих поставщиков, например CyberSafe Corporation и
WRQ Incorporated. Microsoft Windows 2000 имеет встроенный сервер Kerberos.
Программное обеспечение Cisco IOS Software, начиная с версии 11.2 (рекомендуются
версии 11.2F) и более поздние) поддерживает протокол Kerberos версии 5, описываемый в
документе RFC 1510, "The Kerberos Network Authentication Service (V5)".
Свойства Kerberos
Вот основные характеристики Kerberos.
• Использование протокола аутентификации секретных ключей.
• Аутентификация пользователей и запрашиваемых ими сетевых услуг.
• Применение 40- или 56-битового варианта DES для шифрования и аутен-
аутентификации.
• Распределение ключей надежной третьей стороной (центром распределения
ключей).
• Однократная идентификация.
• Трудоемкость администрирования.
164 Часть II. Защита удаленного доступа

Компоненты Kerberos
Kerberos состоит из множества профаммных компонентов. На рис. 4.20 показаны
основные компоненты Kerberos в сети, использующей маршрутизаторы Cisco и серве-
серверы сетевого доступа.
• Система KDC содержит базу данных пользователей.
• Профаммное обеспечение сервера Kerberos осуществляет поддержку серверной
стороны Kerberos.
• Клиент Kerberos и соответствующие профаммные утилиты обеспечивают под-
поддержку возможностей удаленного клиента.
• Поддерживающие Kerberos продукты Cisco состоят из клиента, сервера и утилит.
Центр
распределения
ключей (КОС)
Пользователь А
Сервер
сетевого
доступа
Клиент/сервер
Kerberos
Пользователь В
Маршрутизатор А
Клиент Kerberos
Утилиты Kerberos
Пользователь С
Сервер Kerberos
База данных Kerberos
Клиент/сервер Kerberos
Хост В
Протокол
Kerberos
Рис. 4.20. Главные компоненты Kerberos в среде Cisco
Терминология Kerberos
В системе Kerberos применяется специальная терминология. Приведенный ниже
список представляет термины, которые будут использоваться в следующем разделе.
• Мандат (credential). Это мандат аутентификации, например мандат TGT или
мандат на получение сервиса.
• KDC (Key Distribution Center). Центр распределения ключей. Сервер Kerberos и
профамма базы данных, выполняемые в системе одного из хостов сети.
Глава 4. Технология защиты ААА
165

• Область Kerberos. Домен, состоящий из пользователей, хостов и сетевых серви-
сервисов, регистрируемых данным сервером Kerberos.
• KINIT. Программное обеспечение клиента Kerberos, выполняющего аутентифи-
аутентификацию пользователя для KDC.
• Мандат на получение сервиса. Мандат, разрешающий использование сервиса.
Выдается системой KDC в шифрованном виде; шифруется с помощью пароля,
используемого совместно соответствующим сетевым сервисом и KDC, а также с
помощью мандата TGT пользователя.
• Мандат TGT (Ticket Granting Ticket). Мандат на получение мандата. Мандат,
который выдается системой KDC прошедшим аутентификацию пользователям.
Дает пользователям возможность идентифицировать себя при обращении к сер-
сервису внутри области Kerberos, представляемой данной системой KDC.
Применение Kerberos
В этом разделе дается краткое описание сложного процесса аутентификации и ад-
администрирования Kerberos. Чтобы понять принципы работы Kerberos, рассмотрим
действие компонентов Kerberos вне их связи с продуктами Cisco. Kerberos можно ис-
использовать для аутентификации сеансов РРР, когда KDC выполняет функции удален-
удаленной базы данных защиты, поэтому мы рассмотрим применение Kerberos для аутенти-
аутентификации РРР при обращении к серверу сетевого доступа. Kerberos можно использо-
использовать для аутентификации обращений к маршрутизатору Cisco или серверу сетевого
доступа, когда функции удаленной базы данных зашиты выполняет система KDC, по-
поэтому мы рассмотрим использование Kerberos для аутентификации входа в систему
при обращении к серверу сетевого доступа. Наконец, мы рассмотрим приложения
входа в систему, которые в программном обеспечении Cisco IOS допускают поддержку
Kerberos. Иллюстрацией для следующих примеров является рис. 4.20.
Стандартная аутентификация Kerberos. Чтобы понять, как осуществляется аутенти-
аутентификация Kerberos, рассмотрим основные транзакции, которые выполняются в соот-
соответствии с протоколом Kerberos. В этом примере пользователю С требуется подклю-
подключиться с помощью Telnet к системе хоста В. Пользователь С, хост В и KDC настрое-
настроены на выполнение аутентификации Kerberos. Процесс аутентификации состоит из
следующих шагов.
1. Пользователь С обращается к KDC и проходит процедуру аутентификации. Поль-
Пользователь С использует в качестве клиента Kerberos программу KIN IT.
2. KDC выдает шифрованный мандат TGT системе пользователя С. Система поль-
пользователя С аутентифицирует полученный мандат.
3. Пользователь С пытается подключиться к хосту В через Telnet. Система пользова-
пользователя С подает мандат TGT на рассмотрение KDC и запрашивает мандат на полу-
получение сервиса для авторизации доступа к хосту В.
4. KDC выдает мандат на получение сервиса, разрешающий доступ Telnet к хосту В.
5. Система пользователя С предъявляет мандат на получение сервиса хосту В и по-
получает доступ Telnet.
6. Система пользователя С предъявляет мандат на получение сервиса при после-
последующем доступе к другим системам или сервисам в ходе того же сеанса связи.
166 Часть II. Защита удаленного доступа

Использование Kerberos для аутентификации ААА. Программное обеспечение Cisco
IOS поддерживает использование Kerberos в качестве метода аутентификации доступа
РРР к серверу сетевого доступа. Удаленному пользователю при этом не требуется за-
запускать программу KINIT, поскольку сервер сетевого доступа рассматривается систе-
системой KDC как клиент Kerberos, уполномоченный выполнить аутентификацию для уда-
удаленного пользователя. Например, пользователь А может использовать программу уда-
удаленного доступа Microsoft Windows 95, чтобы связаться с сервером сетевого доступа по
телекоммуникационным каналам с целью получения доступа к территориальной сети
предприятия. Процесс аутентификации состоит в следующем.
1. Пользователь устанавливает удаленное соединение РРР с сервером сетевого доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль, и пользова-
пользователь вводит их. Конфигурация сервера сетевого доступа должна предполагать ис-
использование системы Kerberos для аутентификации сеансов РРР .
3. Сервер сетевого доступа, выступая в качестве клиента Kerberos, предъявляет этот
запрос системе KDC с целью получения от нее мандата TGT, необходимого для
аутентификации доступа.
4. KDC посылает серверу сетевого доступа шифрованный мандат TGT, включаю-
включающий идентификатор пользователя.
5. Сервер сетевого доступа пытается дешифровать мандат TGT с помощью пароля,
введенного пользователем. Если дешифровать мандат удается, аутентификация
удаленного пользователя для сервера сетевого доступа считается успешной. Сер-
Сервер сетевого доступа убеждается, что KDC легален, и компьютер удаленного
пользователя становится частью сети. Для получения доступа к сетевым сервисам
удаленный пользователь теперь должен обращаться непосредственно к KDC.
Замечание
При удаленном доступе по асинхронным линиям или линиям ISDN интерфейс ко-
командной строки Cisco IOS не используется. Вместо этого, как только соединение соз-
создается, применяется сетевой протокол (например, РРР).
Чтобы назначить Kerberos в качестве метода аутентификации пользователя для РРР,
используйте команду ааа authentication ppp с ключевым словом krb5.
Использование аутентификации Kerberos в процедурах входа в систему (login) допус-
допускается только при аутентификации РАР протокола РРР.
Использование аутентификации Kerberos для входа в систему. Программное обеспечение
Cisco IOS поддерживает использование Kerberos в качестве метода аутентификации в про-
процедурах доступа к серверу сетевого доступа; это во многом подобно использованию
TACACS+ или RADIUS. Точно так же, как и при аутентификации РРР, удаленному поль-
пользователю не требуется запускать программу KINIT, поскольку система KDC рассматривает
сервер сетевого доступа в качестве клиента Kerberos, уполномоченного выполнить аутен-
аутентификацию для удаленного пользователя. В нашем примере пользователь В пытается по-
получить доступ к маршрутизатору А. Сам процесс аутентификации состоит в следующем.
1. Пользователь В пытается получить доступ к маршрутизатору А через Telnet.
2. Маршрутизатор А настроен так, чтобы при входе в систему выполнялась аутентифи-
аутентификация Kerberos, поэтому он запрашивает у пользователя имя, а тот вводит его.
Глава 4. Технология защиты ААА 167

3. Маршрутизатор А, выступая в качестве клиента Kerberos, предъявляет этот запрос
системе KDC с целью получения мандата TGT, необходимого для аутентифика-
аутентификации доступа.
4. KDC посылает маршрутизатору А шифрованный мандат TGT, включающий
идентификатор пользователя. Маршрутизатор А запрашивает у пользователя па-
пароль, а тот вводит его.
5. Маршрутизатор А пытается дешифровать мандат TGT с помощью пароля, вве-
введенного пользователем. Если дешифровать мандат удается, маршрутизатор А счи-
считает, что KDC является истинным.
6. Маршрутизатор А посылает мандат TGT с запросом мандата на получение серви-
сервиса для доступа Telnet.
7. KDC предъявляет маршрутизатору А мандат на получение сервиса для доступа
Telnet, а маршрутизатор А сохраняет мандат TGT и мандат на получение сервиса.
Пользователь В получает доступ к маршрутизатору и приглашение маршрутизато-
маршрутизатора. Пользователь В теперь может запросить доступ к иным службам на других ис-
использующих Kerberos узлах без повторной аутентификации.
Замечание
Удаленному пользователю не нужно выполнять программу KINIT для получения ман-
мандата TGT, разрешающего доступ к использующему Kerberos маршрутизатору Cisco,
поскольку в реализации Kerberos, предлагаемой Cisco IOS, программа KINIT интегри-
интегрирована в процедуру входа в систему.
Чтобы активизировать аутентификацию Kerberos в процедурах входа в систему, вос-
воспользуйтесь командой ааа authentication login с ключевым словом krb5. Например,
чтобы использовать Kerberos в качестве метода аутентификации пользователя при
входе в систему, введите ааа authentication login default krb5 (при условии, что
никаких других списков методов не определено).
Возможность передачи мандатов позволяет использовать мандаты TGT при доступе к раз-
разным поддерживающим Kerberos хостам без повторного ввода имени пользователя и паро-
пароля, которые в этом случае требуется ввести только один раз при входе в систему.
Поддержка Kerberos приложениями Cisco IOS
Cisco IOS Release 12.0 включает поддержку Kerberos 5, что дает возможность орга-
организации, уже применяющей эту версию, использовать имеющиеся в сети KDC с их
маршрутизаторами и серверами сетевого доступа. В программном обеспечении Cisco
IOS поддержку Kerberos предполагают следующие сетевые службы.
• Telnet. Клиент Telnet (обеспечивающий поток данных от маршрутизатора к хос-
хостам) и сервер Telnet (обеспечивающий поток данных от хостов к маршрутизато-
маршрутизатору) поддерживают использование Kerberos.
• rlogin. Подключает пользователя к удаленному хосту UNIX для интерактивного
сеанса связи, подобного Telnet.
• rsh. Подключает пользователя к удаленному хосту UNIX и разрешает выполне-
выполнение команды UNIX.
• гср. Подключает пользователя к удаленному хосту UNIX и разрешает копиро-
копирование файлов этого хоста.
168 Часть II. Защита удаленного доступа

Замечание
Для подключения к хосту, поддерживающему Telnet или rlogin, можно применить ко-
команду EXEC connect с ключевым словом /telnet или /rlogin. Для установки шифро-
шифрованного соединения между маршрутизатором и удаленным хостом Kerberos исполь-
используйте опцию /encrypt kerberos. Можно также воспользоваться командой EXEC
telnet с опцией /encrypt kerberos, чтобы создать шифрованный сеанс связи Telnet.
Для инициализации сеансов rlogin и rsh можно использовать команды EXEC rlogin и rsh.
Для получения файлов конфигурации и образов с сервера RCP используется команда
сору гср.
Поддержка Kerberos программным обеспечением Cisco IOS подробно описывается
в документах, упоминаемых в разделе ссылок в конце этой главы.
CiscoSecure ACS
Специалисты Cisco разработали семейство масштабируемых продуктов CiscoSecure
ACS (Access Control Server — сервер управления доступом), обеспечивающих под-
поддержку удаленной базы защиты для малых и средних предприятий и поставщиков се-
сетевых услуг. CiscoSecure ACS поддерживает являющиеся промышленными стандарта-
стандартами протоколы TACACS+ и RADIUS.
Компания Cisco предлагает версии CiscoSecure ACS, работающие под управлени-
управлением либо Solaris, либо Windows NT Server. CiscoSecure использует центральную базу
данных, которая хранит пользовательские и групповые профили с информацией ау-
аутентификации и авторизации, а также записи аудита. CiscoSecure ACS допускает
удаленное управление с помощью стандартного обозревателя Web, что обеспечивает
простоту изменения, перемещения или удаления имен пользователей, паролей и се-
сетевых устройств.
CiscoSecure ACS является всеобъемлющим и гибким средством контроля доступа к
сети. Как показано на рис. 4.21, CiscoSecure контролирует сетевой доступ по следую-
следующим направлениям:
• удаленный доступ через серверы сетевого доступа и маршрутизаторы Cisco;
• доступ к консоли маршрутизаторов и коммутаторов Ethernet и порту vty с це-
целью осуществления централизованного управления;
• контроль доступа через брандмауэр PIX.
CiscoSecure ACS взаимодействует с сервером сетевого доступа, маршрутизатором и
брандмауэром PIX Firewall при реализации всеобъемлющей политики защиты в рам-
рамках архитектуры ААА. Имеется также возможность использования идентификацион-
идентификационных карт и серверов, поставляемых лидерами этой отрасли. CiscoSecure ACS может
применяться для контроля доступа к оборудованию других производителей, если это
оборудование поддерживает протоколы TACACS+ и RADIUS. Семейство продуктов
CiscoSecure ACS включает следующее:
• CiscoSecure ACS для Windows NT;
• CiscoSecure ACS для UNIX;
• CiscoSecure GRS (Global Roaming Server — сервер глобального роуминга).
Все эти продукты обсуждаются в следующих разделах.
Глава 4. Технология защиты ААА 169

Сервер
сетевого
доступа
TACACS+
Маршрутизатор
Cisco
Брандмауэр
PIX
CiscoSecure
ACS
Рис. 4.21. Удаленная база данных защиты
CiscoSecure ACS осуществляет управление
средствами ААА сетевого оборудования
CiscoSecure ACS для Windows NT
Этот продукт представляет собой удаленную базу данных защиты для предприятий и
рабочих групп, которым требуется масштабируемость политики защиты в рамках инфра-
инфраструктуры Windows NT. CiscoSecure ACS для Windows NT имеет следующие особенности.
• Это база данных защиты с широкими возможностями удаленного управления
для Windows NT Server.
• Поддерживаются протоколы TACACS+ и RADIUS одновременно.
• Поддерживаются средства ААА для множества серверов сетевого доступа,
брандмауэров, маршрутизаторов и коммутаторов Ethernet.
• Поддерживается аутентификация с использованием серверов идентификацион-
идентификационных карт ведущих производителей.
• Поддерживается аутентификация с использованием базы данных пользователей
Windows NT посредством MS-CHAP или базы данных CiscoSecure ACS.
• Основанный на использовании Web-броузера интерфейс упрощает задачу на-
настройки пользовательских и групповых профилей, а также параметров самого
сервера CiscoSecure ACS для Windows NT.
• Сохранение статистической и аудиторской информации в формате с разделите-
разделителями-запятыми, позволяет упростить процесс импортирования этих данных в
программы их обработки для дальнейшего анализа.
• Поддержка Windows NT Performance Monitor для визуализации статистических
данных в реальном масштабе времени.
CiscoSecure ACS для Windows NT удовлетворяет требованиям предприятий с доста-
достаточно большими сетями Windows NT, рабочих групп и малых организаций, задачи
170
Часть II. Защита удаленного доступа

защиты доступа которых выходят за рамки возможностей локальной базы данных за-
защиты. Данный продукт можно использовать при решении следующих задач.
• Предоставление предприятиям широкого спектра современных услуг внешними
поставщиками.
• Осуществление централизованного контроля доступа и аудита для серверов об-
общего доступа, поддерживающих TACACS+ и RADIUS в рамках организации
поставщика услуг.
• Осуществление централизованного управления серверами сетевого доступа,
брандмауэрами, маршрутизаторами и коммутаторами Ethernet предприятия.
• Управление доступом к сетям предприятий, которым требуется поддержка бо-
более одного сервера сетевого доступа.
CiscoSecure ACS для UNIX
Рассматриваемый продукт представляет собой мощный сервер управления досту-
доступом, удовлетворяющий требования поставщиков услуг, а также средних и больших
корпораций. CiscoSecure ACS для UNIX предлагает средства, расширяющие возмож-
возможности поставщиков услуг, которые они могут предоставить предприятию. Сервер
обеспечивает такую степень надежности и защиты с помощью ААА, которая требуется
большим корпорациям для защиты их сетей и информационных активов. CiscoSecure
ACS для Windows NT имеет следующие особенности.
• Это база данных защиты с широкими возможностями удаленного управления
для Solaris компании Sun.
• Поддерживаются протоколы TACACS+ и RADIUS одновременно.
• Поддерживаются возможности ААА для множества серверов сетевого доступа,
брандмауэров, маршрутизаторов и коммутаторов Ethernet.
• Поддерживается аутентификация с применением серверов идентификационных
карт ведущих производителей.
• Поддерживаются внешние базы данных Oracle и Sybase, масштабируемые для удов-
удовлетворения требований больших корпораций. Продукт включает SQL Anywhere.
• Предлагаются утилиты импортирования баз данных RADIUS.
• Реализована поддержка коммутируемых сетей VPN (Virtual Private Network —
виртуальная частная сеть) на уровне канала передачи данных.
• Основанный на использовании Web-броузера интерфейс упрощает задачу на-
настройки пользовательских и групповых профилей, а также параметров самого
сервера CiscoSecure ACS для UNIX.
• Распределенная архитектура CiscoSecure ACS для UNIX предоставляет широкие
возможности для масштабирования; это не влияет на возможности репликации
распределенной базы данных.
Специалисты Cisco разработали CiscoSecure ACS для UNIX с целью удовлетворения
высоких требований поставщиков сетевых услуг, а также средних и больших корпора-
корпораций. Этот продукт имеет средства, расширяющие возможности поставщиков услуг, ко-
которые они могут предложить своим клиентам. Сервер обеспечивает такую степень на-
надежности и защиты с помощью ААА, которая требуется большим корпорациям для за-
Глава 4. Технология защиты ААА 171

щиты их сетей и информационных активов. CiscoSecure ACS для UNIX делает возмож-
возможным решение следующих задач.
• Предоставление предприятиям широкого спектра современных услуг в области
управления активами внешними поставщиками услуг.
• Осуществление централизованного управления доступом к службам коллектив-
коллективного доступа и сетевым устройствам, поддерживающим TACACS+ и RADIUS в
рамках организации поставщика.
• Поддержка предприятий, использующих Oracle или Sybase в качестве основной
базы данных, а также предприятий, которым требуются функциональные воз-
возможности масштабируемой реляционной базы данных для хранения данных ACS.
CiscoSecure GRS
Программное обеспечение CiscoSecure GRS (Global Roaming Server — сервер гло-
глобального роуминга) выступает в качестве агента-посредника (proxy), транслирующего
и передающего пакеты между серверами сетевого доступа и системами CiscoSecure
ACS. Мобильные удаленные пользователи VPN и Internet могут получить доступ к се-
сети глобального роуминга, предлагаемой региональными поставщиками услуг, исполь-
используя существующие серверы защиты TACACS+ или RADIUS и серверы сетевого досту-
доступа. Глобальный роуминг снижает стоимость удаленного доступа мобильных пользова-
пользователей к корпоративным сетям и Internet.
CiscoSecure GRS дает возможность региональному поставщику услуг предлагать
дополнительные POP-узлы (Point of Presence — точка присутствия) своим клиентам,
например поставщикам услуг Internet. Поставщики услуг Internet могут использовать
точки присутствия регионального поставщика услуг для расширения области действия
своих услуг (покрытия). Кроме того, поставщики услуг могут предлагать услуги гло-
глобального роуминга вместе с другими поставщиками услуг, тем самым расширяя
спектр своих услуг и распространяя их за пределы своих локальных зон обслужива-
обслуживания. Услуги глобального роуминга могут предлагаться предприятиям, которым необ-
необходимо обеспечить локальную связность глобально доступными средствами. Они мо-
могут также расширить зону действия своих услуг с помощью возможностей других ре-
региональных поставщиков услуг без покупки дополнительного оборудования.
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Методы аутентификации могут не предполагать проверку имен пользователей, они
могут применять проверку как статических, так и зависящих от времени имен поль-
пользователей и паролей, а также использовать систему одноразовых паролей S/Key.
Самым надежным средством аутентификации является применение одноразовых
паролей идентификационных карт, проверяемых соответствующими серверами.
• Аутентификация CHAP предполагает выполнение процедуры трехходового кви-
квитирования.
• Авторизация контролирует доступ к сетевым сервисам и оборудованию.
• Аудит обеспечивает контроль трафика пользователя при доступе к серверу сете-
сетевого доступа или серверу защиты.
172 Часть II. Защита удаленного доступа

• Локальная аутентификация ААА выполняется сервером сетевого доступа с по-
помощью локальной базы данных защиты, хранящейся на этом сервере.
• Аутентификация ААА с применением удаленной базы данных выполняется сер-
сервером защиты, что позволяет централизовать управление множеством серверов
сетевого доступа.
• TACACS+ разделяет аутентификацию, авторизацию и аудит.
• Аудит RADIUS оказывается более гибким, поскольку допускает использование
дополнительных пар "атрибут/значение", определенных поставщиком.
• Система Kerberos использует центр распределения ключей. Для поддержки ус-
услуг Kerberos требуется соответствующая модификация серверов.
• Cisco предлагает три продукта, представляющие собой удаленные базы данных
защиты — это CiscoSecure ACS для Windows NT, CiscoSecure ACS для UNIX и
CiscoSecure GRS.
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Какие режимы сетевого доступа защищаются с помощью средств ААА?
2. На основании каких критериев и стандартов должен выбираться метод аутенти-
аутентификации?
3. Как выполняется процедура трехходового квитирования CHAP?
4. Для решения каких задач сетевые администраторы используют авторизацию?
5. Когда следует использовать локальную базу данных защиты?
6. Какие протоколы сервера защиты поддерживает программное обеспечение Cisco
IOS Software?
7. Каковы основные характеристики TACACS+?
8. В чем преимущество RADIUS по сравнению с TACACS+?
9. Какие сервисы в рамках Cisco IOS Software обеспечивают поддержку Kerberos?
10. Когда следует использовать CiscoSecure ACS для Windows NT?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, и поэтому для более пол-
полного их понимания и применения на практике соответствующих средств требуется
более глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о су-
сути проблем, обсуждавшихся в этой главе.
Серверы идентификационных карт
Информация о сервере идентификационных карт Axent Technologies в составе
CiscoSecure ACS для Windows NT 2.4 доступна по адресу: www.axent.com.
Глава 4. Технология защиты ААА 173

Информацию о серверах идентификационных карт CRYPTOCard можно найти по
адресу: www.cryptocard.com.
Информацию об идентификационных картах SafeWord и соответствующих серве-
серверах можно найти по адресу: www.securecomputing.com.
Информация о SecurlD ACE/Server компании RSA Security доступна по адресу:
www.rsasecurity.com.
S/Key
RFC 1760, N. Haller. "The S/Key One-time Password System", февраль, 1995.
RFC 2289, N. Haller, С Metz, P. Nesser and M. Straw. "A One-Time Password Sys-
System", февраль, 1998.
За дополнительной информацией о системе S/Key обращайтесь к узлу с адресом
URL: medg.lcs.mit.edu/people/wwinston/skey-overview.html.
Дополнительную информацию о системе S/Key можно также найти в разделах
"S/Key Authentication" и "Working with S/Key Authentication" руководства CiscoSecure
ACS for UNIX User's Guide.
PPP
RFC 1661, W. Simpson, ed. "The Point-to-Point Protocol (PPP)", июль, 1994.
CHAP
RFC 1994, W. Simpson. "PPP Challenge Handshake Authentication Protocol (CHAP)",
август, 1996.
MD5
RFC 1321, R. Rivest. "The MD5 Message-Digest Algorithm", апрель, 1992.
TACACS+
Файл draft-grant-tacacs-02.txt, D. Carrel and L. Grant. "The TACACS+ Protocol", ян-
январь, 1997. Этот черновой вариант стандарта Internet для TACACS+, предложенный на
рассмотрение IETF компанией Cisco Systems, Inc., можно найти по адресу:
search, ietf.org/internet-drafts/draft-grant-tacacs- 02. txt.
RFC 1492, С. Finseth. "An Access Control Protocol, Sometimes Called TACACS",
июль, 1993.
RADIUS
RFC 2138, С Rigney, A. Rubens, W. Simpson and S. Willens. "Remote Authentication
Dial in User Service (RADIUS)", апрель, 1997.
RFC 2139, С Rigney. "RADIUS Accounting", апрель, 1997.
Kerberos
"How to Kerberize Your Site" (как настроить узел для поддержки Kerberos). Web-
страницу, которую поддерживает Джим Роум (Jim Rome), можно найти по адресу:
www.ornl.gov/~jar/HowToKerb.html.
174 Часть II. Защита удаленного доступа

"The Kerberos Network Authentication Service" (служба сетевой аутентификации
Kerberos). Web-страница, поддерживаемая группой GOST USC/ISF, содержит инфор-
информацию о Kerberos и множество соответствующих ссылок (gost.isi.edu/info/kerberos).
"Kerberos: The Network Authentication Protocol" (протокол сетевой аутентифи-
аутентификации Kerberos). Web-страница, поддерживаемая МТИ, размещается по адресу:
web.mit. edu/kerberos/www.
RFC 1510, С. Neuman, "The Kerberos Network Authentication Service (V5)", сен-
сентябрь, 1993.
Технический отчет USC/ISI No. ISI/RS-94.399, B. Neuman and T. Ts'o. "Kerberos:
An Authentication Service for Computer Networks", сентябрь, 1994. Этот документ может
быть найден по адресу: nii.isi.edu/publications/kerberos-neuman-tso.html.
Сервер защиты CiscoSecure ACS и программное
обеспечение Cisco IOS
Руководство Cisco IOS Software Security Configuration Guide, Cisco IOS Re/ease 12.0,
октябрь, 1998.
Глава 4. Технология защиты ААА 175

Изучив материал этой главы,!"вы смечете вьтолнитьследующйВзд^^и..^,,.^ '-**4
• Описать типы портрв сервера сетевого доступа й'метШм^щр^Ления ~ :~-*----s-«v-
MM /¦;.? Ш
• Объяснить, как настроить сервер сетевого доступа для локального использова-
использования процессоВАААА в условиях политики защиты для предлагаемого практиче-
практического ^рГ ;
• Указать, как можно выполнить тестирование тсонфигурации,средств ААА серве-
сервера, сётевогЙ доступа с гШмощькшодтодящих команд отладки «тестирования.
.#
Jf'r$
-ж
Ф
Й€#""
:W
ж-<...
t
г/
fgS^ttl:^.
¦'%•
<4%
,#
0 ^тш,
%-,..
Ы
а
mim

Глава
5
Настройка средств ААА
ервера сетевого доступа
ШОЙе^вашей компании скорее всего будут осуществлять доступ к сети компа-
pei cfegitep сетевого доступа, например, типа Cisco ACS5300 или Cisco 2500. Для
—<- пЪйшгики защиты компании необходимо разработать методы аутентифи-
щим образом настроить средства ААА сервера сетевого доступа,
понимаете суть методов аутентификации, авторизации и аудита
вляете себе общую политику защиты вашей компании, вы мо-
ггывать методы аутентификации, объединяющие политику за-
t'iit _
йаЗется с общего обзора процесса настройки средств ААА сервера
жете защитить сервер сетевого доступа и настроить его на
а также научитесь использовать команды, с помощью кото-
применение этих средств. Основные этапы процесса настройки
Шюстрируют'Ц |рответетвующими примерами. Обсуждаются также команды, упро-
щйэщие отладку конфигурации сервера сетевого доступа.
'Цатем мы вь|ййлним1 настройку сервера сетевого доступа для каждой из имеющихся
ААА?|Для контроля результатов предлагается полный листинг со-
й конфигурации. Этот листинг был получен на реальном тесто-
>рудованииШ еоЛржит комментарии, в которых объясняется связь соответст-
в системе ^рщк]
отвдатву|||цего
'Ших команд конфигурации с элементами политики защиты.
ащиты удаленного
е решение
1нфраструкту|>айгерриториальной сети предприятия (кампуса) обычно включает
^средства коммутируемого доступа, что позволяет удаленным пользователям получить
дойгуп к ресу|кйм;;корпоративной локальной сети. Это решает проблему корпоратив-
корпоративного доступа для'пользователей компании, но открывает возможности для атак уда-
удаленного доступа со стороны нарушителей, если не определена и не реализуется соот-
вететЬтощаядполитика защиты. Нарушители могут попытаться получить доступ са-
мыми различными способами, включая следующие.

• Выявление и получение доступа к консоли, если она не защищена.
• Угадывание комбинаций имени пользователя и пароля для устройств удален-
удаленного доступа.
• Интерпретация отсутствия явных уведомлений о политике защиты как разре-
разрешение доступа любыми возможными средствами.
На рис. 5.1 показана схема инфраструктуры территориальной сети компании XYZ,
рассматриваемой в этой главе. Доступ удаленных клиентов к корпоративной локаль-
локальной сети осуществляется через сервер сетевого доступа. Поэтому для сетевого адми-
администратора, желающего построить первую линию защиты удаленного доступа, на-
настройка средств защиты сервера сетевого доступа оказывается очень важной задачей.
Удаленное
подразделение
Web- Обозре- Сервер
сервер ватель сертифи-
Internet Web кации
"Грязная"
ДМЗ
Бастион- Бастион- Сенсор
ный ный CS IDS
хост хост
Защищенная
ДМЗ
Бастион- Бастион-
Бастионный ный
хост хост
„
Windows NT
Протокол удаленный доступ
TACACS+
или RADIUS
Сканер
Сервер NT:
сервер CiscoSecure,
Web, FTP, TFTR Syslog
Сервер Сервер Управляющий
SMTP DNS узел
CSIDS
Рис. 5.1. Инфраструктура территориальной сети компании XYZ
Решение проблемы защиты удаленного доступа заключается в правильной конфи-
конфигурации средств защиты удаленного доступа в соответствии с требованиями общей
политики защиты сети, учитывающей известные угрозы. При этом используются сле-
следующие методы.
178
Часть II. Защита удаленного доступа

• Блокирование точек доступа. Использование паролей доступа для оборудования,
размещенного в точках подключения к серверу сетевого доступа.
• Управление удаленным доступом. Применение средств аутентификации паролей
удаленного доступа с помощью локальной базы данных сервера сетевого доступа.
Конфигурация средств ААА сервера
сетевого доступа
Как уже обсуждалось в главе 4, управление доступом заключается в осуществлении
контроля прав пользователей в отношении доступа к сетевому серверу и в отношении
сервисов, которые им разрешается использовать после получения доступа. Службы
ААА обеспечивают общий каркас сетевой защиты, поддерживающий управление дос-
доступом на вашем сервере сетевого доступа.
После того как вы поймете общие принципы соответствующего процесса выбора
конфигурации, настройка средств ААА окажется относительно простым делом. Для
этого необходимо рассмотреть режимы доступа, типы портов и некоторые другие
предварительные сведения. После этого можно перейти к пошаговому рассмотрению
процесса настройки средств ААА сервера сетевого доступа.
Защита доступа к серверу сетевого доступа осуществляется с помощью команд
ААА в текстовом или пакетном режиме. Режимы доступа к серверу сетевого доступа,
типы портов и элементы команд ААА представлены в табл. 5.1.
Режим
Порты сервера сетевого доступа Элементы команд ААА
Символьный
(линейный режим)
Пакетный
(интерфейсный режим)
tty, vty, aux и cty
async (асинхронный), group-async
(групповой асинхронный), BRI (Basic
Rate Interface - интерфейс базового
уровня) и serial (последовательный, Pri-
Primary Rate Interface (PRI) - интерфейс
основного уровня)
Login, exec, NASI (NetWare Asynchronous
Support Interface — интерфейс асинхрон-
асинхронной поддержки NetWare), ARAP (AppleTalk
Remote Access Protocol — протокол уда-
удаленного доступа AppleTalk) и enable
PPP (Point-to-Point Protocol - протокол пе-
передачи от точки к точке, протокол двухто-
двухточечного соединения), network (сеть) и ARAP
На рис. 5.2 показаны типы портов сервера сетевого доступа и режимы доступа к ним.
Чтобы настроить защиту сервера сетевого доступа, использующего средства ААА,
придерживайтесь следующих общих рекомендаций.
Шаг 1. Защитите доступ к привилегированному режиму EXEC и режиму конфигура-
конфигурации (enable и enable secret) портов vty, async, aux и tty.
Шаг 2. Активизируйте ААА глобально в сервере сетевого доступа с помощью команды
ааа new-model.
Шаг 3. Установите необходимую конфигурацию профилей аутентификации ААА. Не
забудьте обеспечить себе метод аварийного доступа, пока не убедитесь, что
ваш сервер защиты настроен и функционирует должным образом.
Глава 5. Настройка средств ААА сервера сетевого доступа
179

Telnet
Сервер
сетевого
доступа
Консольный
терминал
BRI, последовательные (PRI)
каналы ISDN типа В
Сервер
CiscoSecure ACS
Рис. 5.2. Типы портов и режимы доступа сервера сетевого доступа
Шаг 4. Установите необходимую конфигурацию средств авторизации ААА, исполь-
используемых после аутентификации пользователя.
Шаг 5. Установите необходимую конфигурацию средств аудита ААА в отношении
формы записей аудита и их содержимого.
Шаг 6. Выполните отладку конфигурации.
Следующие разделы описывают перечисленные шаги подробно.
Шаг 1. Защита привилегированного режима
EXEC и режима конфигурации
Первым шагом в обеспечении надежной защиты является защита доступа к приви-
привилегированному режиму EXEC (режиму enable). Режим enable открывает доступ к режиму
конфигурации, в котором допускается изменение конфигурации сервера доступа.
Пароль enable должен выбираться в соответствии со следующими требованиями.
• Он может содержать до 25 буквенно-цифровых символов верхнего и нижнего
регистров.
• Не должен начинаться с цифры.
• Может начинаться с пробелов, но они будут игнорироваться. Однако внутрен-
внутренние и завершающие пробелы пароля не игнорируются.
Консоль является единственным портом, допускающим доступ к привилегирован-
привилегированному режиму EXEC без пароля enable, поэтому удаленное администрирование в от-
отношении сервера сетевого доступа без пароля оказывается невозможным.
Специалисты Cisco советуют по возможности использовать команду enable secret
как дополнительную защиту, обеспечиваемую ее функцией хэширования MD5. Запре-
Запретить отображение паролей в открытом виде можно с помощью команды service
pas sword-encryption.
180
Часть II. Защита удаленного доступа

Для защиты привилегированного режима EXEC используются команды enable и
service. Синтаксис этих команд следующий.
enable password [level уровень] {пароль \ [тип-шифрования] шифроваиный-пароль}
service password-encryption
Команда service password-encryption не имеет аргументов и ключевых слов. Од-
Однако она обеспечивает дополнительную защиту для привилегированного режима
EXEC. Для шифрования паролей вместе с командой service password-encryption ис-
используется команда enable password. Чтобы отменить действие, используются формы
по этих команд. Аргументы команды enable password и их значения объясняются в
следующей таблице.
Аргумент команды Описание
level уровень
пароль
тип-шифрования
шифрованиый-паропь
(необязательный) Определяет уровень привилегий, для которого устанавливается па-
пароль. Можно указать до 16 уровней привилегий, используя номера от 0 до 15. Уро-
Уровень 1 соответствует уровню привилегий обычного пользователя режима EXEC. Если
этот параметр в данной команде (или в команде с префиксом по) не определен, то
для уровня привилегий по умолчанию устанавливается значение 15 (традиционно соот-
соответствующий разрешению привилегий)
Задает пароль, требуемый от пользователя для входа в режим enable
(необязательный) Указывает используемый в устройствах Cisco алгоритм, с помощью
которого выполняется шифрование пароля. В настоящее время единственным допус-
допустимым значением для этой команды является 7. Если этот параметр указан, то сле-
следующий параметр должен задавать шифрованный пароль (пароль, шифрованный
маршрутизатором Cisco)
Определяет вводимый пользователем шифрованный пароль, копируемый из другой
области конфигурации маршрутизатора
Внимание!
Утерянный или забытый шифрованный пароль восстановить невозможно. Единствен-
Единственным решением при этом является выполнение соответствующей процедуры обновле-
обновления пароля и установка нового пароля enable. Небрежное выполнение процедуры об-
обновления пароля может повредить файл конфигурации.
При этом политика защиты должна учитывать уязвимость шифрования пароля с по-
помощью команды service password-encryption, поскольку имеется вероятность взло-
взлома пароля хакерскими средствами.
В примере 5.1 показаны команды, используемые для защиты сервера сетевого доступа.
Пример 5.1. Защита доступа к-:серверу;св1«вд|^до<даца^;!;<ш^4};ШЩШжm
Router(config)ienable password changeme
Router(config)ienable eecret supersecret
Router (config) if service password-encryption
Глава 5. Настройка средств ААА сервера сетевого доступа
181

Шаг 2. Глобальная активизация ААА в сервере
сетевого доступа
После обеспечения защиты сервера сетевого доступа необходимо создать раздел
ААА в файле конфигурации. Для этого необходимо сделать следующее.
1. Настроить сервер сетевого доступа на выполнение аутентификации пользовате-
пользователей, пытающихся получить доступ к командам привилегированного уровня.
2. Создать строку символов, содержащую список методов аутентификации, активи-
активизируемых при входе пользователя в систему, и базу данных имен пользователей,
используемую для аутентификации (таких баз данных может быть несколько).
3. Указать один или несколько методов аутентификации ААА для использования с
последовательным интерфейсом по протоколу РРР (Point-to-Point Protocol —
протокол двухточечного соединения).
В примере 5.2 показаны команды, с помощью которых выполняется глобальная
активизация средств ААА на сервере сетевого доступа.
ия средств ААА на сервере сетевого 1
доступа
»1
NASx(config)jfaaa new-model
NASx(config)iaaa authentication login default enable
Первая команда, ааа new-model, создает новую конфигурацию ААА. Вторая, ааа
authentication login default enable, обеспечивает постоянную защиту доступа по
всем линиям (кроме РРР). Теперь можно продолжить изменение и тестирование кон-
конфигурации с помощью команд ААА и соответствующих приложений.
Внимание!
Только при первом использовании команды ааа new-model создается новая конфигу-
конфигурация. Последующее применение команды по умолчанию предполагает использова-
использование операторов ААА, уже введенных ранее.
Если вы намереваетесь выполнять аутентификацию пользователей с помощью сер-
сервера защиты, будьте предельно внимательны, чтобы в результате использования ко-
команды ааа new-model не закрыть себе доступ к портам сервера доступа. Например,
войдите в режим конфигурации линии и введите команду глобальной конфигурации
ааа authentication login default tacacs+ enable. Эта команда позволит вам, если
сервер TACACS+ (или RADIUS) не функционирует должным образом, ввести свой па-
пароль enable и войти в сервер доступа.
Шаг 3. Настройка профилей аутентификации ААА
Используйте команду глобальной конфигурации ааа authentication для установки
параметров идентификации пользователя и проверки этой информации.
После глобальной активизации ААА на сервере доступа необходимо определить
списки методов аутентификации, а затем связать их с линиями и интерфейсами. Спи-
182 Часть II. Защита удаленного доступа

ски методов аутентификации представляют собой профили защиты, указыаающие
сервис (РРР, ARAP или NASI) или метод входа в систему и аутентификации (local,
TACACS+, RADIUS, login, enable, line или none).
Чтобы определить список методов аутентификации с помощью команды ааа
authentication, необходимо выполнить следующее.
1. Указать сервис (РРР, ARAP или NASI) или аутентификацию входа в систему (login).
2. Определить имя списка или имя по умолчанию. Именем списка может быть лю-
любая буквенно-цифровая строка. Имя по умолчанию указывает метод, применяе-
применяемый ко всем строкам и интерфейсам, для которых явно не указано иное. В каж-
каждом списке можно указать только один входной протокол, но можно создать
множество списков методов аутентификации. Каждому списку необходимо дать
уникальное имя.
3. Указать метод аутентификации. Можно указать до четырех методов. Если для не-
некоторого метода регистрируется ошибка (что выявляется с помощью команды
debug aaa authentication), система пытается использовать следующий метод.
После определения списки методов аутентификации применяются к одному из
следующих объектов.
• Линии. Линии tty, vty, консоли, aux и async или консольный порт для входа в
систему и асинхронные линии (в большинстве случаев) для ARA.
• Интерфейсы. Синхронный, асинхронный и виртуальный интерфейсы для РРР,
SLIP, NASI или ARAP.
Для активизации процесса аутентификации ААА используется команда ааа
authentication в режиме глобальной конфигурации. Синтаксис команды ааа
authentication следующий.
ааа authentication {arap | enable | login | nasi | ppp} {default | имя-списка)
метод! [метод2] [метод3] [метод*]
Аргументы команды enable authentication и их значения объясняются в следую-
следующей таблице.
Аргумент команды Описание
агар метод Активизирует метод аутентификации ААА для ARA (AppleTalk Remote Access - удален-
удаленный доступ AppleTalk) с использованием RADIUS или TACACS+. Аргумент метод до-
допускает следующие параметры.
• guest - разрешает гостевой вход в систему. Этот метод должен быть первым в списке,
но за ним могут следовать другие методы на случай, если метод не сработает
• autho-guest - разрешает гостевой вход в систему при условии, что пользова-
пользователь уже получил доступ к режиму EXEC. Этот метод должен быть первым в списке,
но за ним могут следовать другие методы на случай, если этот метод не сработает
• line - использование пароля линии
• local — использование локальной базы данных имен пользователей
• tacacs+ - использование аутентификации TACACS+
• radius - использование аутентификации RADIUS
Глава 5. Настройка средств ААА сервера сетевого доступа 183

Аргумент команды Описание
enable метод Создает набор методов аутентификации для выяснения возможности получения досту-
доступа к командам привилегированного уровня. Аргумент метод задает методы, которые
алгоритм аутентификации пытается применить в указанном порядке:
• enable - использование пароля enable
• line — использование пароля линии
• попе — отказ от аутентификации
• tacacs+ - использование аутентификации TACACS+
• radius - использование аутентификации RADIUS
login метод Использование аутентификации ААА в начале сеанса. Аргумент метод задает список
методов, которые алгоритм аутентификации пытается применить в указанном порядке:
• enable - использование пароля enable
• krb5 - использование аутентификации Kerberos 5
• line — использование пароля линии
• local - использование пароля линии
• попе — отказ от аутентификации
• radius - использование аутентификации RADIUS
• tacacs+ — использование аутентификации TACACS+
• krb5-telnet - использование протокола аутентификации Kerberos 5 Telnet при
осуществлении доступа Telnet к маршрутизатору
nasi Использование аутентификации ААА для клиентов NASI, подключающихся через сер-
сервер доступа. Аргумент метод задает список методов, которые алгоритм аутентифика-
аутентификации пытается применить в указанном порядке:
• enable — использование пароля enable
• line — использование пароля линии
• local — использование линейного пароля
• попе - отказ от аутентификации
• tacacs+ - использование аутентификации TACACS+
ррр метод Указывает один или несколько методов аутентификации ААА для последовательного
интерфейса, использующего РРР и TACACS+. Аргумент метод задает список методов,
которые алгоритм аутентификации пытается применить в указанном порядке:
• if-needed - не использовать аутентификацию, если пользователь уже аутенти-
фицирован на линии tty
• krb5 — использование аутентификации Kerberos 5 (может использоваться только
для аутентификации РАР)
• local — использование пароля линии
• попе - отказ от аутентификации
• radius - использование аутентификации RADIUS
• tacacs+ - использование аутентификации TACACS+
default Использование следующих за данным аргументом методов по умолчанию при входе
пользователя в систему
имя-списка Указывает имя списка методов аутентификации, применяемых при входе пользователя
в систему
184
Часть II. Защита удаленного доступа

В табл. 5.2 представлены команды настройки параметров аутентификации ААА.
Команда Описание
ааа authentication login tech-pubs local Определяет профиль аутентификации при входе в сис-
систему (tech-pubs), использующий для аутентификации
локальную базу данных
ааа authentication ppp mktg if-needed local Определяет профиль аутентификации РРР (mktg), не
требующий аутентификации, если пользователь уже
аутентифицирован. Иначе для аутентификации РРР
используется локальная база данных
В примере 5.3 показаны команды аутентификации, применяемые к линиям и ин-
интерфейсам.
Пример 5.3. Команды аутентификации, применяемые к линиям 'ч:: / '' ''
(config)ftline console О
(config-line)tlogin authentication tech-pubs
(config)tinterface serial 3/0
(con-fig-line)#ppp authentication chap mktg
Команда line console 0 открывает режим конфигурации консольной линии. Ко-
Команда login authentication tech-pubs задает использование профиля tech-pubs для
аутентификации входа в систему при доступе через консольный порт 0. Команда
interface serial 3/0 указывает порт 0 сегмента 3 последовательного интерфейса. Ко-
Команда ppp authentication chap mktg задает использование профиля mktg для аутенти-
аутентификации CHAP PPP в рамках интерфейса, описанного предыдущей командой. Для
"аварийного варианта" аутентификации ААА используется список по умолчанию.
Шаг 4. Настройка средств авторизации ААА
Средства авторизации ААА позволяют ограничить доступ к сервисам. Когда сред-
средства авторизации ААА активизированы, сервер сетевого доступа настраивает парамет-
параметры сеанса связи в соответствии с профилем пользователя, хранящимся либо в локаль-
локальной базе данных, либо на сервере защиты. Пользователю предоставляется доступ к
соответствующему сервису, если это допускается параметрами профиля.
Для установки параметров, определяющих права пользователя, используется команда
глобальной конфигурации ааа authorization. Сервер доступа необходимо настроить так,
чтобы после успешной аутентификации пользователю предоставлялось право доступа
только к определенным функциям. Синтаксис команды ааа authorization следующий.
ааа authorization {network | exec | commands уровень | reverse-access}
{default | имя-списка} {if-authenticated | local | none | radius |
tacacs+ | krb5-instance}
Аргументы команды и их значения объясняются в следующей таблице.
Глава 5. Настройка средств ААА сервера сетевого доступа 185

Аргумент команды Описание
Для сетевых сервисов (РРР, SUP, ARAP)
Для запуска exec (shell)
Для команд exec (shell)
Указывает уровень команды, требующей авторизации. Допустимы значения 0-15
Выполнение авторизации для соединений обратного доступа, например обратного
доступа Telnet
Использование методов из указанного после этого аргумента списка в качестве ме-
методов авторизации по умолчанию
Символьная строка, задающая имя списка методов авторизации
Разрешает использовать запрошенную функцию, если пользователь аутентифицирован
Использование для авторизации локальной базы данных (с паролями пользователя)
Отказ от авторизации
Использование авторизации RADIUS
Использование авторизации TACACS+
Использование экземпляра, определяемого командой таблицы экземпляров Kerberos
Имеется возможность указать профиль авторизации после указания сервиса. Точно
так же, как и в команде aaa authentication, в данном случае можно указать до четы-
четырех различных методов.
Именованные списки авторизации позволяют определить различные методы авториза-
авторизации и аудита с тем, чтобы применить их к конкретным интерфейсам и каналам связи.
В табл. 5.3 приводится список команд авторизации ААА, которые должны исполь-
использоваться в режиме глобальной конфигурации.
network
exec
commands
уровень
reverse-access
default
имя-списка
if-authenticated
local
none
radius
tacacst
krb5-instance
Команда
Описание
aaa authorization commands 1 Orion local
aaa authorization commands 15 Andromeda
local
aaa authorization network Pisces local none
aaa authorization exec Virgo
if-authenticated
Применение локальной базы данных имен пользователей
для авторизации использования всех команд уровня 1
То же для авторизации использования всех команд
уровня 15
Применение локальной базы данных для всех сетевых
сервисов типа SLIP (Serial Line Internet Protocol - меж-
межсетевой протокол для последовательного канала), РРР
и ARAP. Если локальный сервер недоступен, авториза-
авторизация не выполняется и пользователь может использо-
использовать все сетевые услуги
Дает аутентифицированному пользователю право вы-
выполнить процесс EXEC
186
Часть II. Защита удаленного доступа

Шаг 5. Настройка параметров аудита ААА
Возможности аудита ААА позволяют контролировать доступ к сервисам, а также
объемы потребляемых пользователями сетевых ресурсов.
Для установки параметров записи действий пользователя используется команда гло-
глобальной конфигурации ааа accounting. Синтаксис команды ааа accounting следующий.
ааа accounting {system | network | exec | connection | commands уровень}
{default | имя-списка} {start-stop | wait-start | stop-only | none}
[метод! [метод2]]
Аргументы команды и их значения объясняются в следующей таблице.
Аргумент команды Описание
Аудит всех событий системного уровня (типа перезагрузки)
Аудит запросов сетевого сервиса (SUP, PPP и ARAP)
Аудит процессов EXEC
Аудит всех исходящих соединений типа Telnet или rlogin
Аудит всех команд указанного уровня привилегий
Использование методов авторизации из списка, указанного после этого аргумента, в
качестве методов авторизации по умолчанию
Символьная строка, определяющая имя списка методов аудита
Отправка уведомлений о начале и окончании аудита. Запись начала аудита посылается
в фоновом режиме. Запрошенный пользователем процесс начинается, даже если уве-
уведомление о начале аудита не будет получено сервером
Как и для аргумента start-stop, серверу аудита посылаются уведомления о начале и
окончании аудита. Однако при использовании wait-start запрошенный пользовате-
пользователем сервис не предоставляется до тех пор, пока не будет получено подтверждение
получения уведомления о начале аудита
stop-only Отправка уведомления об окончании аудита по завершении запрошенного пользовате-
пользователем процесса
попе Отменяет аудит для данной линии или интерфейса
метод1, метод2 Активизирует аудит TACACS+ или RADIUS с помощью ключевых слов tacacs+ или radius.
В табл. 5.4 приводятся команды аудита ААА, используемые в режиме глобальной
конфигурации.
system
network
exec
connection
commands уровень
default
имя-списка
start-stop
wait-start
Команда
Описание
ааа accounting system wait-start local Аудит системных событий с использованием метода
wait-start
ааа accounting network stop-only local Отправка уведомлений о прекращении записи по за-
завершении работы сервиса
ааа accounting exec start-stop local Отправка уведомлений о начале записи в начале процесса
EXEC и о прекращении записи в конце этого процесса
Глава 5. Настройка средств ААА сервера сетевого доступа
187

Окончание табл. 5.4
Команда Описание
ааа accounting commands 15 wait-start Отправка уведомления о начале записи и ожидание
local подтверждения, перед тем как начать выполнение лю-
любой команды уровня 15. Отправка уведомления о пре-
прекращении записи по завершении выполнения команды
Шаг 6. Отладка конфигурации
Команды debug ааа предназначены для того, чтобы выяснить, какие методы аутен-
аутентификации и авторизации используются, для отображения результатов использования
этих методов и отображения событий аудита по мере их возникновения.
В табл. 5.5 представлены команды debug, используемые в сервере сетевого доступа
для мониторинга событий аутентификации, авторизации и аудита.
Команда Описание
debug ааа authentication Отображает информацию аутентификации AWTACACS+. Для отказа от
вывода данных отладки используйте эту команду в форме по
debug ааа authorization Отображает информацию авторизации AAA/TACACS+. Для отказа от выво-
вывода данных отладки используйте эту команду в форме по
debug ааа accounting Отображает информацию аудита АААДАСАС5+. Для отказа от вывода
данных отладки используйте эту команду в форме по
Каждая из команд debug имеет свои форматы вывода. Одни генерируют по одной стро-
строке в пакете, тогда как другие — множество строк. Какие-то команды генерируют большие
объемы выводимых данных, в то время как другие генерируют вывод только иногда. Одни
команды генерируют строки текста, а другие — информацию в виде набора полей.
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Процесс настройки средств ААА сервера сетевого доступа состоит из следую-
следующих шести шагов:
• защита доступа к привилегированному режиму EXEC и режиму изменения
конфигурации (режимы enable и enable secret) для портов vty, async, aux и tty,
• глобальная активизация ААА на сервере сетевого доступа с помощью коман-
команды ааа new-model;
• настройка профилей аутентификации ААА (необходимо иметь метод
"аварийного доступа" к серверу вплоть до завершения процесса настройки,
когда сервер защиты будет функционировать должным образом);
• настройка средств авторизации ААА, используемых после аутентификации
пользователя;
188 Часть II. Защита удаленного доступа

• настройка параметров аудита ААА для записи контрольных данных в нуж-
нужном виде;
• отладка конфигурации, если это оказывается необходимым.
• При использовании средств ААА локального сервера, сервис ААА выполняется
локальным сервером сетевого доступа.
• С помощью средств ААА можно обеспечить защиту символьного и пакетного
режимов.
• Настройка средств ААА сервера сетевого доступа должна выполняться в опреде-
определенной последовательности.
• Для настройки параметров аутентификации и выбора соответствующих методов
используется команда ааа authentication.
• Для селективного поиска проблем конфигурации ААА применяются команды
ааа debug.
• Для удаления команд ААА из текущей конфигурации используется команда по
ааа new-model.
Практическое занятие. Конфигурация
средств ААА сервера сетевого
доступа
Это практическое занятие призвано продемонстрировать возможности конфигура-
конфигурации средств ААА сервера сетевого доступа в сети гипотетической компании XYZ.
Предлагается сначала рассмотреть план практического занятия, изучить соответст-
соответствующую топологию и политику защиты, а потом проанализировать пример конфигу-
конфигурации, чтобы увидеть, как элементы политики защиты реализуются с помощью ко-
команд настройки маршрутизаторов Cisco.
План практического занятия
Компания XYZ намеревается обеспечить своим сотрудникам удаленный доступ к
сети. Планируется настроить сервер сетевого доступа на применение средств ААА,
использующих локальную базу данных защиты, чтобы впоследствии подготовить сер-
сервер для работы с CiscoSecure ACS для NT (CSNT) в качестве сервера ААА.
Топология
На рис. 5.3 показана схема части сети XYZ, конфигурация которой будет рассмот-
рассмотрена в ходе этого практического занятия. Основными объектами внимания здесь ока-
оказываются элементы сети, связанные с сервером сетевого доступа.
Политика сетевой защиты
Политика сетевой защиты, которую планирует реализовать компания XYZ, являет-
является следующей.
Глава 5. Настройка средств ААА сервера сетевого доступа 189

• Сетевое оборудование должно предполагать использование паролей доступа в
точках доступа к серверу сетевого доступа.
10.1.2.1/24
Windows NT
адреса от 10.1.2.2
до 10.1.2.10/24
Сервер NT:
CiscoSecureACS,
сервер Web, FTP,
TFTP, Syslog
Протокол
TACACS+или »-
RADIUS
Рис. 5.3. Сервер сетевого доступа корпоративной сети компании XYZ
• Удаленный доступ должен строго контролироваться путем применения паролей
и средств аутентификации с помощью локальной базы данных.
• Компания XYZ в перспективе планирует перейти к использованию удаленной базы
данных защиты, реализующей политику аутентификации по протоколу TACACS+.
Пример конфигурации сервера сетевого доступа
Рассмотрим набор команд конфигурации для устройства NAS1 компании XYZ, пред-
предлагаемых в примере 5.4. Этот пример реализует элементы политики сетевой защиты, свя-
связанные с защитой сервера сетевого доступа. Одна из возможных настроек сервера сетевого
доступа, соответствующих представленной политике защиты, может выглядеть так, как
указано ниже. Можно сконфигурировать сервер иначе, обеспечив выполнение тех же тре-
требований политики защиты. Обратите внимание на комментарии, объясняющие связь ко-
команд конфигурации с конкретными требованиями политики защиты. Команды, не имею-
имеющие отношения к рассматриваемому вопросу, были из листинга удалены.
ртва
! Установка точного времени для использования в сообщениях
service timestamps debug datetime msec
service timestamps log uptime
no service password-encryption
!
hostname NAS1
i
! Создание нового раздела ААА и защита линий
ааа new-model
ааа authentication login default enable
ааа authentication login console-in local
190
Часть II. Защита удаленного доступа

aaa authentication login vty-in local
aaa authentication login tty-in line
aaa authentication ppp dial-in if-needed local
i
enable secret 5 $l$a8hM$8S2.ZmgUyGL2Ask4TVRSQ.
enable password 7 0300540C5E0B2E4B
!
username admin password 0 back door
username isgroup password 0 other door
username remotes password 0 billy8bong
clock timezone PST -8
ip subnet-zero
ip host modem 2097 10.1.1.1
interface BRIO/0
no ip address
no ip directed-broadcast
shutdown
!
interface EthernetO/0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
!
interface EthernetO/1 no ip address
no ip directed-broadcast
shutdown
!
interface Serial3/0
physical-layer async
ip address 10.1.2.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
ip tcp header-compression passive
async mode dedicated
peer default ip address pool classpool
no fair-queue
no cdp enable
ppp authentication chap dial-in
!
interface SerialS/1
no ip address
no ip directed-broadcast
shutdown
!
interface Serial3/2
no ip address
no ip directed-broadcast shutdown
Глава 5. Настройка средств ААА сервера сетевого доступа 191

interface Serial3/3
no ip address
no ip directed-broadcast
shutdown
i
router rip
network 10.0.0.0
i
ip local pool classpool 10.1.2.2 10.1.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.3 no ip http server
line console 0
exec-timeout 0 0
password 7 110F0B0A19064B080B2539
logging synchronous
login authentication console-in
transport input none
line 65 70
line 97
no exec
password 7 0825454F0554100417191F
login authentication tty-in
modem InOut
modem autoconfigure type usr sportster
transport input all
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
password 7 094D4A04100B5A16020D08
line vty 0 4
password 7 121C061F1D52
login authentication is-in
i
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Для чего используется команда service password-encryption в процессе подго-
подготовки к настройке средств ААА?
2. Каким двум режимам сервера сетевого доступа можно обеспечить защиту с по-
помощью команд ААА?
192 Часть II. Защита удаленного доступа

3. Для чего в команде ааа authentication ppp sales if-needed local используется
параметр local?
4. Какие команды ААА применяются для глобальной активизации ААА с одновре-
одновременной защитой всех линий доступа?
5. Что делает команда ааа authorization network Pisces local none?
6. Какая команда EXEC может использоваться для мониторинга событий аудита по
мере их выявления?
7. Какие действия необходимо выполнить для определения списка методов?
8. Какую команду можно использовать в начале сеанса debug ааа authentication,
чтобы обеспечить точное время для ссылок в сообщениях?
9. Что делает команда ааа accounting exec start-stop local?
10. Какое число методов аутентификации может быть указано при использовании
команды ааа authentication для определения списка методов аутентификации?
Ссылки
В этой главе описывается процесс выбора конфигурации, реализующей политику
защиты на сервере сетевого доступа. Следующие ссылки помогут пополнить ваши
знания о средствах ААА и вариантах политики защиты вообще.
Политика защиты
Институт SANS (System Administration, Networking, and Security Institute — Инсти-
Институт системного администрирования, сетей и защиты), страница которого размещена
по адресу: www.sans.org, представляет собой кооперативное исследовательское и учеб-
учебное заведение для системных администраторов, профессионалов сетевой защиты и се-
сетевых администраторов.
Model Security Policies — Compiled by Michele Crabb-Guel. Коллекция шаблонов и обзоров,
автором которой является Мишель Грабб-Гуэль, призвана помочь при создании политики
защиты. Содержит также информацию из курса SANS "Building an Effective Security Infra-
Infrastructure". Размещается по адресу: www.sans.org/newlook/resources/policies/policies.htm.
RFC 2196, "The Site Security Procedures Handbook". Предлагает обзорную инфор-
информацию о политиках защиты и процедурах аутентификации. Размещается по адресу:
ds. intemic. net/rfc/rfc2196. txt.
Конфигурация ААА
Security Command Reference, Cisco /OS Release 12.0, October, 1998.
Security Configuration Guide, Cisco /OSRelease 12.0, October, 1998.
Глава 5. Настройка средств ААА сервера сетевого доступа 193

Изучив материал этой главы, вы сможете выполнить следующие задачи. .
• Описать возможности и архитектуру CiscoSecure ACS 2.4 для Windows NT.
• Настроить CiscoSecure ACS для Windows NT на выполнение функций ААА.
• Описать возможности и архитектуру CiscoSecure ACS 2.3 для UNIX.
• Настроить сервер сетевого доступа таким образом, чтобы процессы ААА могли
использовать удаленную базу данных|3ащиты TACACS+. %.
i'T-
¦•¦¦#¦-
Л#
.*'
Щг,
¦ !.:i."':'
%"-¦¦¦.

Глава
6
Настройка CiscoSecure ACS
JliTACACS+yRADIUS
¦¦- ; : , . ,,,,,,...... .. ,.
{ -. В этой главе рассматриваются возможности программного обеспечения сервера
управления Щоступом CiscoSecure ACS. С помощью программного обеспечения
CiscoSecure АСЗуМОжно обеспечить защиту сети и контролировать действия пользова-
пользователей, подключающихся к ней. Для этого в CiscoSecure ACS используется либо систе-
.«;?*'ма ТАСАС^тЙ10ЙИтипа1 Access Controller Access Control System — система управления
' терминальным доступом), либо RADIUS (Remote Authentication Dial-In User Service —
Jt сервте;даентификавд1и удаленных абонентов). Сетевая защита реализуется с помошью
¦.:>t средства^ААА — аутентификации, авторизации и аудита.
%. Кроме^гого, здесь описывается конфигурация средств ААА в сервере сетевого дос-
1 tyna Для проверки полученных вами знаний предлагается полный листинг соответст-
соответствующего файла конфигурации. Этот листинг был получен на реальном тестовом обо-
;:г?й1рудовании и содержит комментарии, в которых объясняется связь соответствующих
команд конфигурации с элементами политики защиты.
CiscoSecure ACS для Windows NT
HjUNiX
*ri||W Программное обеспечение CiscoSecure ACS доступно как для операционных сис-
систем NT, так и UNIX. Общим для этих двух пакетов является интерфейс Web-броузера,
предлагающий следующие возможности.
• f Централизованная поддержка ААА для доступа через серверы сетевого доступа,
маршрутизаторы, коммутаторы и брандмауэры.
• Управление доступом Telnet к маршрутизаторам и коммутаторам.
:ijis • Поддержка неограниченного числа серверов сетевого доступа Cisco.
• Поддержка идентификационных карт и их серверов.
• Управление поддерживающими TACACS+ и RADIUS клиентами сервера сете-
сетевого доступа.
• Управление поддерживающими TACACS+ и RADIUS серверами CiscoSecure ACS.
• Установка и контроль удаленных соединений с удаленными сетями VPDN
(Virtual Private Dial-up Network — виртуальная частная коммутируемая сеть).

• Поддержка профиля по умолчанию, разрешающего гостевой доступ пользовате-
пользователей и регистрацию входа пользователей через клиентов сервера сетевого досту-
доступа, авторизованных другой системой контроля доступа к сети.
• Установка привилегий административных групп промежуточного уровня.
• Поддержка кэша маркеров доступа для всех пользователей, входящих в сеть че-
через сервер идентификационных карт.
• Установка абсолютных атрибутов группового уровня.
• Поддержка пользователей идентификационных карт Administer Secure Computing.
Кроме того, серверы управления доступом поддерживают протоколы TACACS+ и
RADIUS, репликацию баз данных, интерфейс командной строки и кэширование дан-
данных профилей с целью ускорения процесса аутентификации.
Программное обеспечение CiscoSecure ACS поддерживает серверы сетевого доступа
Cisco (Cisco NAS), а также устройства сторонних производителей, предлагающие под-
поддержку протоколов TACACS+ и/или RADIUS. CiscoSecure ACS использует протоколы
TACACS+ и RADIUS в сервисах ААА, обеспечивающих защиту сетевой среды.
Сервер сетевого доступа настраивается так, чтобы все запросы доступа пользователей
направлялись серверу CiscoSecure ACS для аутентификации и авторизации. С помощью
протокола TACACS+ или RADIUS сервер сетевого доступа посылает серверу CiscoSecure
ACS запросы аутентификации для проверки имени и пароля пользователя на основе со-
соответствующей базы данных. CiscoSecure ACS возвращает серверу сетевого доступа под-
подтверждение или отказ, тем самым разрешая или запрещая доступ пользователю.
Вместе с подтверждением аутентификации пользователя сервер сетевого доступа мо-
может получить набор атрибутов сеанса, обеспечивающих дополнительные возможности
защиты и управления привилегиями. Эти атрибуты могут включать пул IP-адресов, спи-
список управления доступом и тип соединения (например, IP, IPX или Telnet).
Поддержка TACACS+
Программное обеспечение CiscoSecure ACS совместимо с протоколом TACACS+, оп-
определенным Cisco Systems в проекте стандарта 1.77 (см. документацию по программному
обеспечению Cisco IOS или обратитесь к странице Cisco Systems по адресу: www.cisco.com).
Поддержка RADIUS
Программное обеспечение CiscoSecure ACS также совместимо с протоколом RADIUS,
определенным в проекте стандарта (апрель, 1997 год) и следующих документах RFC:
RFC 2138 ("Remote Authentication Dial In User Service"), RFC 2139 ("RADIUS Accounting"),
draft-ietf-radius-tunnel-auth-07.txt и draft-ietf-radius-tunnel-acct-03.txt.
CiscoSecure ACS для Windows NT
CiscoSecure ACS для NT (CSNT) действует как сервис Windows NT, управляющий
средствами ААА доступа пользователей к сети. Каждая из составляющих ААА способ-
способствует усилению защиты сети.
• Аутентификация позволяет идентифицировать пользователей и выяснить, име-
имеют ли они право доступа к сети.
196 Часть II. Защита удаленного доступа

• Авторизация определяет уровень сетевых сервисов, доступных для аутентифи-
цированных пользователей после установки соответствующих соединений.
• Аудит дает возможность контролировать действия пользователей в сети.
Средства ААА в рамках архитектуры клиент/сервер (когда ответственность за проведе-
проведение транзакции разделяется на две части: клиента [интерфейсная часть] и сервера
[прикладная часть]) позволяют хранить всю информацию защиты в одной централизован-
централизованной базе данных, вместо распределения ее по сети во множество различных устройств.
CSNT работает с Windows NT Server 4.0, с установленным Service Pack 4 (или более
поздним). CSNT поддерживает централизацию управления доступом и аудита для уда-
удаленного доступа, доступа к территориальной сети и Internet. Централизация касается
доступа к серверам удаленного доступа и брандмауэрам, а также управления доступом
к маршрутизаторам и коммутаторам. Системный администратор получает возмож-
возможность управлять учетными записями и глобально менять уровни сервисов, предлагае-
предлагаемых группам пользователей. Это расширяет возможности системного администратора
по управлению удаленным доступом и сетевыми сервисами всей корпоративной сети
со своего рабочего места. Ввиду тесной интеграции CSNT с операционной системой
Windows NT, компании могут использовать практические знания и средства, уже ин-
инвестированные в построение сети Windows NT.
CSNT поддерживает брандмауэр Cisco PIX Firewall и различные серверы сетевого
доступа Cisco, например Cisco 1600, 2500, 2600, 3600, AS5200, AS5300 и AS5800. CSNT
также поддерживает аутентификацию и авторизацию серверов сетевого доступа сто-
сторонних поставщиков, применяющих IETF, Ascend RADIUS или TACACS+.
Административный интерфейс CSNT отображается с помощью предлагаемого
Web-броузера, что делает администрирование исключительно простым. Интерфейс
CiscoSecure ACS для Windows NT показан на рис. 6.1.
i Back
м Jjo Gamnunicotar tielp
? 3 Л *• ?
• -' fWood Hun* Sntdi Nakcw*
Ji •
Э wabMeU
g People fl YrtowPsget 3 Download 19c<Hndat-jittanM» ¦
CiscoSecure ACS V2A
for Windows NT
Select "Sample Configurations" to list the steps for
configuring CiscoSecure for your specific requirements.
Select "Log Off' to end the administration session.
CiscoSecure ACS v2.4 for Windows NT offers support for
multiple network access servers and advanced TACACS+
and RADIUS features. It also supports several methods of
authorization, authentication, and accounting (AAA)
including several one-time-password cards. For more
information on CiscoSecure products and upgrades, please
visit http://www.cisco.coni.
Сяг oSecwe ACS »2 A fot Wmtow NT
ljRele»se2 4(!x_
Рис. 6.1. Web-интерфейс CiscoSecure ACS для NT
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
197

CSNT выполняет аутентификацию имен и паролей пользователей с помощью базы
данных Windows NT User Database (база данных пользователей Windows NT), CSNT
ACS User Database (база данных пользователей сервера управления доступом) или ба-
базы данных сервера идентификационных карт.
Для разных целей могут использоваться различные уровни защиты CiscoSecure
ACS. Базовый уровень защиты "пользователь-сеть" обеспечивается протоколом РАР
(Password Authentication Protocol — протокол аутентификации пароля). Хотя этот про-
протокол и не обеспечивает наивысший уровень защиты, он предлагает простоту и удоб-
удобство работы с клиентом. РАР позволяет выполнить аутентификацию с помощью базы
данных Windows NT. В такой конфигурации пользователям необходимо пройти про-
процедуру входа в систему только один раз. Протокол CHAP (Challenge Handshake
Authentication Protocol — протокол аутентификации с предварительным согласованием
вызова) обеспечивает более высокую степень защиты шифрованных паролей при об-
обращении клиента к серверу сетевого доступа. Протокол CHAP можно использовать с
базой данных Cisco Secure ACS User Database.
Сравнение РАР, CHAP и ARAP
PAP, CHAP и ARAP являются протоколами аутентификации, используемыми для
шифрования паролей. Эти протоколы обеспечивают разные степени защиты.
• РАР. Использует пароли в открытом виде и является самым простым из протоко-
протоколов аутентификации. Если аутентификация выполняется с помощью базы данных
Windows NT User Database, то необходимо применять шифрование паролей РАР.
• CHAP. Использует механизм вызова-ответа с односторонним шифрованием отве-
ответа. CHAP позволяет CiscoSecure ACS договориться о приемлемом механизме
шифрования, спускаясь вниз от наиболее надежного из них, что дает возможность
защитить пароли, пересылаемые в ходе данного процесса. Пароли CHAP предпо-
предполагают многократное использование. Если аутентификация выполняется с помо-
помощью базы данных CiscoSecure ACS User Database, то можно применять как РАР,
так и CHAP.
• MS-CHAP (Microsoft Challenge Handshake Authentication Protocol — протокол Micro-
Microsoft CHAP). CiscoSecure ACS поддерживает аутентификацию MS-CHAP. Отличия
между MS-CHAP и стандартным протоколом CHAP заключаются в следующем.
• Пакет ответа MS-CHAP имеет формат, совместимый с Microsoft Windows NT,
Windows 95/98 и LAN Manager 2.x. Формат MS-CHAP не требует, чтобы аутенти-
фикатор содержал пароль в открытом или обратимо шифрованном виде.
• MS-CHAP предлагает механизм повторной аутентификации под контролем ау-
тентификатора.
• MS-CHAP предлагает дополнительные коды ошибок в соответствующем поле
пакета сообщения об ошибке.
• В рамках протокола MS-CHAP для аутентификации можно использовать базу
данных NT User Database.
• ARAP (AppleTalk Remote Access Protocol — протокол удаленного доступа
AppleTalk). Использует двухсторонний механизм вызова-ответа. Сервер сетевого
доступа для аутентификации вызывает удаленного клиента, а удаленный клиент
для аутентификации вызывает сервер сетевого доступа.
198 Часть II. Защита удаленного доступа

Возможности CSNT
Рассмотрим основные возможности CSNT.
• Одновременная поддержка TACACS+ и RADIUS. Для связи между CiscoSecure
ACS и сервером сетевого доступа можно использовать TACACS+ или RADIUS.
• Аутентификация с помощью базы данных Windows NT User Database или базы
данных CiscoSecure ACS User Database. Поддержка базы данных Windows NT
User Database включает следующее:
• применение имен пользователей и паролей Windows NT и консолидация
управления ими;
• использование одной процедуры входа в систему для доступа к сети и доме-
домену Windows NT;
• работу в конфигурации с отдельным контроллером PDC (Primary Domain
Controller — главный контроллер домена) и контроллером BDC (Backup
Domain Controller — резервный контроллер домена) сервера Windows NT.
• Поддержка всех главных протоколов аутентификации, включая CHAP, PAP,
MS-CHAP, ARAP, а также внешних серверов идентификационных карт и базы
данных Windows NT User Database и Novell NDS (Novell Directory Services —
служба каталогов Novell).
• Поддержка возможности обратного вызова сервера сетевого доступа с целью
усиления защиты.
• Отключение учетной записи после определенного числа аварийно завершив-
завершившихся попыток входа в систему.
Возможности ААА CSNT
CSNT поддерживает следующие возможности ААА.
• Поддержка TACACS+ для списков доступа (именованных или нумерованных), ог-
ограничение доступа по времени или дням недели, поддержка уровней привилегий,
аутентификации для сервера LDAP (Lightweght Directory Access Protocol — облег-
облегченный протокол службы каталогов) и одноразовых паролей enable.
• Поддержка IETF RADIUS, пар "атрибут/значение" Cisco RADIUS, фирменных
расширений RADIUS и атрибутов туннельной связи RADIUS.
• Единая база данных TACACS+/RADIUS для совместного использования этими
протоколами.
• Поддержка сетей VPN (Virtual Private Network — виртуальная частная сеть) и
VPDN (Virtual Private Dial-up Network — виртуальная частная коммутируемая
сеть) в точках начала и окончания туннелей VPN на уровне L2F (Layer 2 For-
Forwarding — продвижение данных уровня канала передачи данных).
• Использование ограничений пользователя, основанных на идентификации
CLID удаленного адреса (Caller Line Identification — идентификация линии вы-
вызывающего абонента).
• Отключение учетной записи в указанное время или после определенного числа
аварийно завершившихся попыток получения доступа.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 199

CiscoSecure ACS Release 2.4, по сравнению с более ранними версиями, предлагает
следующие дополнительные возможности.
• Усовершенствованное шифрование. Более "стойкое" шифрование для базы дан-
данных CiscoSecure ACS.
• Расширенные возможности репликации базы данных. Более совершенные воз-
возможности репликации баз данных.
• Аутентификация сервиса каталогов. Аутентификация любой из поддерживаемых
версий службы каталогов LDAP.
• Опции enable внешней базы данных пользователей. Возможность для внешних
пользователей пройти аутентификацию с помощью пароля enable.
• Группы сетевых устройств группового уровня (Network Device Group — NDG).
Возможность связать группы пользователей с группами сетевых устройств.
• Групповые таблицы базы данных NDS. Возможность отображения групп NDS
(Novell Directory Services — служба каталогов Novell).
• Расширенные возможности синхронизации системы управления реляционной базой
данных (СУРБД). Возможность синхронизации элементов таблицы, соответст-
соответствующих серверу сетевого доступа, ААА, группам сетевых устройств и устройст-
устройствам-посредникам (proxy).
• Возможность работы с сетями VPDN при использовании базы данных CiscoSecure
ACS User Database с атрибутами RADIUS туннельной связи. Поддержка атрибу-
атрибутов IETF RADIUS туннельной связи, позволяющих указать множество тунне-
туннелей с помощью одного пакета RADIUS.
• Аудит VoIP. Регистрация данных аудита VoIP (Voice over IP) в обычном для
RADIUS файле значений CSV (Comma-Separated Value — разделенные точкой с
запятой значения) и файле ODBC (Open DataBase Connectivity — открытый ин-
интерфейс доступа к базам данных), в дополнительном CSV- или ODBC-файле
данных VoIP либо и то, и другое одновременно.
• Контроль формата даты. Возможность использовать либо формат ме-
месяц/день/год, либо день/месяц/год.
• Обратный вызов Microsoft. Поддержка возможности обратного вызова Microsoft.
• Файлы контрольных записей CSV н ODBC. Поддержка как CSV-, так и
ODBC-совместимых записей аудита и администрирования.
Возможности администрирования
CSNT предлагает множество дружественных по отношению к пользователю воз-
возможностей администрирования.
• Подцерживающий HTML/JAVA графический пользовательский интерфейс дает
возможность контролировать средства защиты с помощью Web-броузера по ло-
локальной сети или при удаленном доступе. Это упрощает процесс настройки и
позволяет распределить в сети параметры конфигурации сервера управления
доступом, профилей пользователей и групповых профилей:
• для помощи в решении проблем предлагаются файлы справки и документа-
документация, доступная с помощью Web-броузера (но не SSL-броузера, он использу-
использует CSAdmin);
200 Часть II. Защита удаленного доступа

• с целью максимальной гибкости при реализации и изменении политики защиты
поддерживается возможность группового администрирования пользователей;
• для разрешения или запрета удаленного администрирования необходимо
ввести уникальное имя и пароль администрирования;
• удаленный сеанс администрирования имеет ограничения по времени;
• можно просмотреть список подключившихся пользователей, чтобы выяс-
выяснить, кто имеет активные соединения в данный момент.
• Поддержка монитора производительности Windows NT (Windows NT Perform-
Performance Monitor) для просмотра в реальном масштабе времени статистических па-
параметров, например, характеризующих число транзакций в секунду.
• Создание отдельных файлов TACACS+ и RADIUS в формате таблицы CSV для уп-
упрощения импортирования их в электронные таблицы и приложения баз данных.
• Наличие утилиты импортирования для быстрого добавления данных для боль-
большого числа пользователей.
• Поддержка одноуровневой индексированной базы данных для ускорения обра-
обработки транзакций (CSNT User Database).
Возможности распределенной системы
CSNT может использоваться в распределенной системе. Можно разместить мно-
множество серверов CSNT и ААА, которые взаимодействуют как ведущие, клиенты или
равноправные узлы. CSNT распознает ограничения сетевого доступа других серверов
CSNT в распределенной сети. CSNT предлагает следующие возможности.
• Передача аутентификации. CSNT может автоматически ретранслировать запрос
аутентификации от сервера сетевого доступа другому серверу CSNT. После ау-
аутентификации к серверу сетевого доступа будут применяться привилегии авто-
авторизации, соответствующие результатам аутентификации данного пользователя.
• Нейтрализация аварийно завершенных соединений. Можно определить порядок, в ка-
каком клиент CSNT будет проверять удаленные серверы CSNT, если попытка устано-
установить сетевое соединение с главным сервером CSNT завершится неудачей. Если за-
запрос аутентификации невозможно послать первому из перечисленных серверов, бу-
будет проверен следующий сервер из списка, пока запрос аутентификации не будет
обработан каким-либо из серверов. Если клиент CSNT не сможет соединиться ни с
одним сервером из списка, аутентификация считается неудачной.
• Удаленная н централизованная регистрация событий. CSNT можно настроить на
применение централизованного сервера CSNT в качестве сервера регистрации
системных событий. Централизованный сервер CSNT будет иметь все возмож-
возможности обычного сервера CSNT, но, кроме того, будет центральным хранилищем
для всех высылаемых ему протоколов с контрольными записями.
Поддержка внешних баз данных
CSNT может выполнять аутентификацию пользователей, определенных в базах
данных защиты или службах каталогов сетевой операционной системы (таких, как
Novell NDS или база данных аудита Windows NT), и поддерживает передачу аутенти-
аутентификации серверам LDAP. Поддержка ODBC позволяет ускорить процесс импортиро-
импортирования данных для большого числа пользователей.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 201

Возможности управления базами данных
Возможности синхронизации СУРБД и репликации баз данных для CSNT призва-
призваны помочь автоматизировать процесс управления базой данных CSNT и конфигура-
конфигурацией сети. Утилита CSUtil.exe обеспечивает возможности резервного копирования и
восстановления базы данных.
Репликация баз данных
Репликация баз данных оказывается мощным методом, который позволяет обеспе-
обеспечить устойчивый к отказам среды сервис ААА на основе CiscoSecure ACS 2.4 для
Windows NT. Главная задача репликации баз данных — это копирование частей кон-
конфигурации главного сервера CSNT в одну или несколько систем клиента CSNT, что
позволяет администратору автоматизировать процесс создания зеркальных систем.
Зеркальные системы могут использоваться для того, чтобы обеспечить избыточность
сервера путем создания резервных или вторичных серверов, обеспечивающих устой-
устойчивое функционирование сети в случае отказа ее главных или первичных элементов.
Не путайте репликацию баз данных с резервным копированием базы данных или
системы. Репликация баз данных представляет собой неполную замену резервного
копирования. Чтобы гарантировать целостность данных, вам все равно необходимо
разработать надежную стратегию резервного копирования.
Синхронизация СУРБД
Синхронизация СУРБД представляет собой интеграционную возможность, при-
призванную упростить процесс совместного использования CiscoSecure ACS 2.4 для
Windows NT с приложениями СУРБД сторонних производителей. Средства синхрони-
синхронизации СУРБД предлагают следующее.
• Спецификации источника данных ODBC для синхронизации при использова-
использовании CSNT с другими приложениями СУРБД и контроля обновлений CSNT для
внешних приложений.
• Управление процессом импортирования/синхронизации, включая создание со-
соответствующих расписаний.
• Выбор систем, которые должны быть синхронизированы.
Возможность синхронизации СУРБД состоит из следующего: сервиса CSDBSync и
таблицы хранения данных ODBC. CSDBSync является специальным сервисом Windows
NT, автоматизирующим аудит пользователей и групп для CSNT. Таблица хранения дан-
данных ODBC описывает формат записи. Каждая запись содержит информацию о пользо-
пользователе или группе, соответствующую данным из базы данных CSNT. Запись содержит и
другие поля, в частности код действия. Записи в таблицу могут делать любые приложе-
приложения. CSDBSyn читает данные таблицы и для каждой записи выполняет действие
(например, добавление или удаление пользователя и т.п.), соответствующее указанному
в записи коду действия.
Доступ к данным ODBC
CSNT поддерживает импортирование данных из баз данных ODBC, например баз
данных Microsoft Access или Oracle. При импортировании информация о пользовате-
пользователях и группах, размещенная в одной таблице, переносится на несколько серверов
ACS. Сервис CSAccupdate обрабатывает таблицу и обновляет данные локальных и
удаленных систем ACS в соответствии с заданной конфигурацией.
202 Часть II. Защита удаленного доступа

Системные требования CSNT
Перед установкой CSNT необходимо убедиться, что система отвечает следующим
минимальным требованиям (чтобы ускорить работу сервисов, необходимо иметь опе-
оперативную память, рабочую частоту процессора, дисковое пространство и скорость ра-
работы жесткого диска, соответствующие условиям сетевой среды).
• IBM-совместимый компьютер с процессором Pentium 200 МГц или более.
• Минимум 64 Мбайт оперативной памяти (рекомендуется 128 Мбайт).
• Поддержка CD-ROM.
• По крайней мере 150 Мбайт свободного дискового пространства. Типичная ус-
установка может потребовать вдвое больше этого объема.
• Windows NT Server 4.0 (с установленным SP5 или SP6).
• Минимальное разрешение монитора 800x600 при использовании 256 цветов.
• В компьютере, на котором размещается CSNT, и в удаленных системах адми-
администрирования должен быть установлен один из следующих броузеров:
Microsoft Internet Explorer 4.x или 5.x, Netscape Navigator 4.0.x или Netscape
Communicator 4.x. Поддержка Java и JavaScript должна быть включена.
• Программное обеспечение Cisco IOS Software Release 11.1 или более поздней версии
на сервере сетевого доступа. Для поддержки RADIUS требуется IOS 11.1.
• PIX Firewall версии 4.24 или более поздней.
Архитектура CSNT
CSNT обеспечивает возможность использования сервисов ААА для множества сер-
серверов сетевого доступа. Сюда входит сервис администрирования и модули сервиса,
описываемые ниже.
• Сервис администрирования (CSAdmin). Сервис внутреннего Web-сервера. CSNT
предлагает свой собственный внутренний сервер. После установки CSNT необ-
необходимо выбрать подходящую конфигурацию этого сервера с помощью интер-
интерфейса HTML/Java, который требует постоянной доступности сервиса CSAdmin.
• Модуль CSAuth. Главной задачей CSNT является аутентификация и авториза-
авторизация запросов сетевых устройств на разрешение или запрет доступа к ним.
CSAuth представляет собой сервис, ответственный за принятие решения о раз-
разрешении или запрете доступа и за определение уровня привилегий, связывае-
связываемых с каждым пользователем. CSAuth является диспетчером базы данных.
• Модули CSTacacs и CSRadius. Эти службы связываются с модулем CSAuth и за-
запрашиваемым устройством, для которого требуется аутентификация и автори-
авторизация. CSTacacs используется для работы с устройствами TACACS+, а
CSRadius — для работы с устройствами RADIUS. Эти два сервиса могут рабо-
работать одновременно, но если используемый протокол защиты этого не допуска-
допускает, должен применяться только один соответствующий сервис.
• Модуль CSLog. Сервис, используемый для регистрации событий и обработки
соответствующей информации. CSLog использует данные пакетов TACACS+ и
RADIUS, а также данные CSAuth и обрабатывает эти данные, чтобы поместить
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 203

их в файлы CSV. Такие файлы создаются ежедневно, начиная с полуночи. По
умолчанию они сохраняются в каталоге \Program Files\CSNT v2.4\Logs\.
• Модуль CSDBSynch. Используется сервисами автоматизированного управления
средствами аудита пользователей и групп для CiscoSecure ACS.
• Модуль CSMonitor. Осуществляет мониторинг CiscoSecure ACS и решает выяв-
выявленные проблемы.
В отдельности каждый из этих модулей может быть активизирован или остановлен
с помощью панели управления сервисами (Microsoft Service Control Panel), а в составе
группы — с помощью интерфейса броузера CSNT. Их можно также контролировать с
помощью диспетчера задач Windows NT (Windows NT Task Manager).
Использование базы данных сервера управления доступом
С помощью протокола RADIUS или TACACS+ сервер сетевого доступа направляет
все запросы доступа удаленного пользователя в адрес CSNT, где службы аутентифи-
аутентификации и авторизации проверяют имя и пароль пользователя. CSNT возвращает серве-
серверу сетевого доступа ответ с подтверждением или отказом, на основании чего пользо-
пользователю разрешается или запрещается доступ. После аутентификации пользователя
система CSNT посылает серверу сетевого доступа набор атрибутов авторизации, и на-
начинают выполняться функции аудита.
При использовании базы данных CSNT User Database взаимодействуют следующие
службы и базы данных.
• Система TACACS+ или RADIUS запрашивает сервисы аутентификации и авто-
авторизации NT у сервера CSNT, где выполняется аутентификация запроса с по-
помощью базы данных CSNT User Database и определяются соответствующие па-
параметры авторизации, а выполняемые при этом действия регистрируются служ-
службой регистрации событий CSNT.
• База данных Windows NT User Database не выполняет аутентификацию пользо-
пользователей при удаленном доступе. Пользователь должен входить в систему
Windows NT после завершения процедур ААА удаленного доступа.
CSNT использует встроенную базу данных пользователей, представляющую собой
плоский файл с индексом, содержащим хэшированные значения. Для такого файла
поиск ведется не с начала файла, что обычно предполагают, когда говорят о плоском
файле, а используется индекс, как для базы данных. Для этого плоского файла созда-
создается индекс, состоящий из хэшированных значений, и соответствующая древовидная
структура, чтобы оптимизировать процесс поиска и дать возможность базе данных
CSNT User Database быстрее выполнять аутентификацию пользователей.
При использовании базы данных CSNT User Database требуется вводить имена
пользователей вручную. Но после ввода имени в базу данных CSNT User Database,
процесс администрирования оказывается проше, чем при использовании базы данных
Windows NT User Database. База данных CSNT User Database поддерживает аутенти-
аутентификацию PAP и CHAP.
На рис. 6.2 показана схема взаимодействия сервера сетевого доступа с базой дан-
данных сервера управления доступом в рамках CSNT.
Процесс аутентификации состоит из следующих шагов.
1. Запросы и ответы (имя пользователя и пароль, подтверждения аутентификации и
данные авторизации) передаются серверу CSNT.
204 Часть II. Защита удаленного доступа

2. Сервис TACACS+ или RADIUS NT направляет запросы соответствующей службе
администрирования.
Запросы
и ответы
Удаленный
клиент
Сервер
сетевого
доступа
Сервис
NTTACACS+
или RADIUS
Сервис
ААА ACS NT
Процесс
регистрации
пользователя
Windows NT
Рис. 6.2. Взаимодействие сервера сетевого доступа с базой данных сервера управления доступом
3. Выполняется аутентификация запроса с помощью базы данных сервера управле-
управления доступом, определяются соответствующие параметры авторизации, а соответ-
соответствующие события регистрируется сервисом аудита.
4. База данных NT User Database не выполняет аутентификацию пользователей при
удаленном доступе. Пользователь должен входить в Windows NT после заверше-
завершения процедур ААА удаленного доступа.
Использование базы данных NT
Когда CSNT использует для сервиса ААА базу данных Windows NT User Database,
система TACACS+ или RADIUS направляет запрос сервисам аутентификации и авто-
авторизации CSNT, которые предъявляют имя и пароль пользователя базе данных
Windows NT User Database для аутентификации.
Преимущество базы данных Windows NT User Database состоит в том, что имя поль-
пользователя и пароль, используемые для аутентификации, совпадают с теми, что применя-
применяются для входа в систему. Поэтому достаточно потребовать от пользователя ввести его
учетное имя и пароль только один раз, что, очевидно, удобно пользователю.
На рис. 6.3 показана схема взаимодействия сервера сетевого доступа и NT Security
Accounts Manager (администратора учетных данных в системе защиты).
Процесс аутентификации состоит из следующих шагов.
1. Запросы и ответы (имя и пароль пользователя, подтверждения аутентификации и
данные авторизации) передаются серверу CSNT.
2. Сервис TACACS+ или RADIUS NT направляет запрос соответствующей службе
администрирования.
3. Имя пользователя и пароль предъявляются базе данных NT User Database для ау-
аутентификации. Если они подтверждаются, серверу сетевого доступа высылается
подтверждение и соответствующие данные авторизации, определенные сервером
управления доступом. Соответствующие события регистрируются сервисом аудита.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
205

Запросы
и ответы
Удаленный
клиент
Сервер
сетевого
доступа
Сервис
NTTACACS+
или RADIUS
Сервис
AAAACSNT
Ч_ '
Аутентификация,
^Авторизация,
Аудит .
i
Данные
системы
разрешения
удаленного
доступа
<¦*•"¦ --¦«
Ьаза данных
ользователей N
* '
i
Windows NT Server 4.0
Рис. 6.3. Взаимодействие сервера сетевого доступа и администратора учетных данных в системе
защиты Windows NT
4. Имя пользователя и пароль предъявляются системе NT, и удаленный пользователь
получает права локального. Ответ направляется серверу управления доступом, а поль-
пользователю предоставляются права, соответствующие данным авторизации. Это позво-
позволяет использовать одну процедуру и для удаленного доступа, и для входа в сеть.
5. Ответы возвращаются серверу сетевого доступа.
Поддержка идентификационных карт
CSNT включает программное обеспечение сервера идентификационных карт
CryptoCard и поддерживает аутентификацию с помощью идентификационных карт SDI
(Security Dynamics, Inc.), SafeWord и Axent. CSNT может выполнять аутентификацию
любых идентификационных карт, удовлетворяющих спецификациям Х.909 (например,
DES Gold Card). По отношению к серверу идентификационных карт, CSNT настраива-
настраивается как клиент. При использовании базы данных CSNT User Database (как и при ис-
использовании базы данных Windows NT User Database) модуль CSAuth связывается с сер-
сервером идентификационных карт, чтобы сравнить соответствие имени пользователя и
пароля идентификационной карты. Сервер идентификационных карт возвращает ответ,
подтверждающий или отрицающий соответствие. Если соответствие подтверждается,
модуль CSAuth считает, что аутентификация пользователем завершена успешно.
При использовании сервера идентификационных карт, CSNT применяет протокол
TACACS+ или RADIUS для связи с устройствами, к которым клиент запрашивает се-
сетевой доступ. Хотя серверы идентификационных карт тоже могут предложить некото-
некоторую поддержку TACACS+ и RADIUS, эта функция не используется, поскольку связь
управляется средствами CSNT. Поэтому поддержка TACACS+ и RADIUS сервером
идентификационных карт должна быть отключена.
CSNT поддерживает кэширование данных идентификационных карт для терми-
терминальных адаптеров ISDN. Когда кэширование данных активизировано, пользователи
ISDN могут подключить второй канал В в режиме полосы по требованию
(многозвенного соединения), используя пароль, который был введен для первона-
первоначальной аутентификации (соответствующий маркер доступа помещается в кэш и ока-
206
Часть II. Защита удаленного доступа

зывается доступным в течение определенного времени). Риск захвата второго канала
В противником минимизируется путем применения средств CHAP для кэширован-
ного пароля второго канала и ограничения времени, в течение которого второй канал
В может использовать кэшированный маркер доступа.
На рис. 6.4 показана схема поддержки идентификационных карт сервером сетевого
доступа, CSNT и сервером идентификационных карт.
Сервер
идентификационных
карт
CiscoSecure
Рис. 6.4. Поддержка идентификационных карт
Установка CSNT
Установить CSNT и выбрать подходящую конфигурацию достаточно просто. В этом
разделе представлен краткий обзор основных шагов процесса установки. Предполагает-
Предполагается, что удаленный пользователь использует связь РРР и аутентифицируется сервером
CSNT по протоколу TACACS+ с помощью базы данных Windows NT User Database.
При установке CSNT выполняется следующая последовательность шагов.
Шаг 1. Настройка Windows NT Server для работы с CSNT.
Шаг 2. Проверка связи между Windows NT и ПК клиента, сервером сетевого доступа
или брандмауэром PIX Firewall с помощью ping и Telnet.
Шаг 3. Установка CSNT в системе Windows NT Server. Программа установки CSNT
использует InstallShield.
Шаг 4. Выбор исходной конфигурации CSNT с помощью интерфейса Web-броузера.
Шаг 5. Настройка сервера сетевого доступа, брандмауэра PIX Firewall и ПК клиента
для использования средств ААА.
В следующих разделах эти шаги описываются подробнее. По завершении установ-
установки CSNT вы можете проверить работоспособность системы, используя информацию
из раздела "Администрирование CSNT и исправление ошибок конфигурации".
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
207

Шаг 1. Настройка Windows NT Server
Чтобы настроить Windows NT для использования CSNT, необходимо сделать сле-
следующее.
1. Определить тип Windows NT Server на основе информации об архитектуре
Windows NT Server, используемой в сети предприятия.
2. Сконфигурировать Windows NT User Manager (Диспетчер пользователей).
3. Использовать сервисы Windows NT для управления сервером ACS (сервер управ-
управления доступом).
При использовании CSNT в системе PDC/BDC (Primary Domain Controller —
главный контроллер домена; Backup Domain Controller — резервный контроллер до-
домена) и при наличии множества доменов имеется возможность междоменной аутен-
аутентификации, если в соответствующем домене пользователю разрешается локальный
вход в систему, система разрешения удаленного доступа не пересекает границу дове-
доверия CSNT и пользователь успешно проходит аутентификацию в домене 1 CSNT.
Шаг 2. Проверка соединений
Необходимо проверить, могут ли удаленный клиент, сервер сетевого доступа и бранд-
брандмауэр РГХ Firewall обратиться к системе Windows NT Server, играющей роль хоста для
CSNT. Такая проверка упрощает установку и исключает возможность возникновения про-
проблем в процессе настройки сервера CSNT и взаимодействующих с ним устройств.
Шаг 3. Установка CSNT в системе Windows NT Server
Проще всего установить CSNT, используя CD-ROM. Соответствующий процесс
ничем не отличается от установки любого другого приложения Windows, использую-
использующей InstallShield. Прежде чем начать установку, выясните необходимую информацию
о сервере сетевого доступа, включая имя хоста, IP-адрес и ключ TACACS+.
Следуйте инструкциям InstallShield.
1. Выберите и сконфигурируйте базу данных.
2. Сконфигурируйте CSNT для сервера сетевого доступа, используя окно Web-броузера.
3. Сконфигурируйте сервер сетевого доступа и брандмауэр PIX Firewall для CSNT.
4. Сконфигурируйте CSNT, используя окно Web-броузера.
Шаг 4. Настройка CSNT с помощью Web-броузера
После успешной установки CSNT, на рабочем столе NT появится пиктограмма ACSNT
Admin. Вам необходимо будет продолжить настройку CSNT с помощью Web-броузера.
CSNT предполагает использование HTML, поэтому настроить CSNT можно лишь с по-
помощью Web-броузера. Можно запустить броузер, указав адрес http://127.0.0.1:2002,
http://<ip-adpec>:2002 или Шр://<имя хоста>:2002
Шаг 5. Настройка других устройств для использования
средств ААА
Необходимо выполнить настройку сервера сетевого доступа, брандмауэра PIX
Firewall, маршрутизаторов и коммутаторов для работы с CSNT. Процесс выбора кон-
конфигурации этих устройств будет описан в следующих главах.
208 Часть II. Защита удаленного доступа

Кроме того, может понадобиться выполнить настройку сервера идентификацион-
идентификационных карт для совместной работы с CSNT при использовании средств ААА. Ниже при-
приводятся некоторые варианты конфигурации, предполагающие применение CSNT для
выполнения задач ААА. Все используемые устройства должны быть настроены на ра-
работу с CSNT.
• Удаленный доступ с помощью базы данных Windows NT User Database и
TACACS+.
• Удаленный доступ с помощью базы данных CSNT User Database и TACACS+.
• Удаленный доступ с помощью сервера идентификационных карт и TACACS+.
• Удаленный доступ с помощью базы данных CSNT User Database и RADIUS (Cisco).
• Удаленный доступ для клиента ARAP с помощью базы данных CSNT User Da-
Database и TACACS+.
• Управление маршрутизатором с помощью базы данных CSNT User Database и
TACACS+.
• Аутентификация/авторизация PIX Firewall с помощью базы данных Windows
NT User Database и TACACS+.
• Сеть VPDN (Virtual Private Dial-up Network — виртуальная частная коммутируе-
коммутируемая сеть), использующая базу данных CSNT User Database и TACACS+.
Администрирование CSNT и исправление ошибок
конфигурации
Интерфейс Web-броузера является основой администрирования и настройки
CSNT. Этот интерфейс позволяет управлять всеми возможностями сервера из любой
точки, где он оказывается доступным. Доступ к отчетам активности CSNT через окно
Web-броузера открывает возможности для тестирования конфигурации и исправления
ошибок. Задачи администрирования и тестирования вместе с основными командами
отладки описываются в следующем разделе.
Администрирование CSNT
Интерфейс Web-броузера CSNT упрощает процесс администрирования средств
ААА. Каждая из девяти кнопок навигационной панели представляет конкретную об-
область или функцию, настройки которой можно изменить. В зависимости от конфигу-
конфигурации, может не потребоваться менять настройки всех областей. Для изменения на-
настроек выберите одну из следующих кнопок.
• User Setup (установка пользователя). Добавление, редактирование и удаление
учетных записей пользователей и списков пользователей в базах данных.
• Group Setup (установка группы). Создание, редактирование и изменение имен
групп и списков пользователей в группе. Изменение параметров авторизации
для разных пользователей и групп в зависимости от уровней сервиса.
• Network Configuration (конфигурация сети). Создание конфигурации, изменение
параметров серверов сетевого доступа, добавление (и удаление) серверов сете-
сетевого доступа и параметров распределения серверов ААА.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 209

• System Configuration (конфигурация системы). Активизация и остановка серви-
сервисов CSNT, выбор параметров процедуры входа в систему, управление реплика-
репликацией баз данных и синхронизацией СУРБД.
• Interface Configuration (конфигурация интерфейса). Определение пользователь-
пользовательских полей в записях протоколов аудита, опций TACACS+ и RADIUS и пара-
параметров отображения опций в рамках интерфейса пользователя.
• Administration Control (управление администрированием). Управление возмож-
возможностями администрирования CSNT с рабочих станций сети.
• External User Databases (базы данных внешних пользователей). Выбор политики
и параметров авторизации для неизвестных пользователей, а также определение
типов внешних баз данных.
• Reports and Activity (отчеты и события). Поиск следующей информации, кото-
которую можно импортировать в электронные таблицы и большинство приложений
баз данных.
• RADIUS Accounting Reports (отчеты аудита RADIUS). Содержат время нача-
начала, прекращения и длительности сеансов, сообщения сервера сетевого дос-
доступа с именами пользователей и информацию аутентификации пользова-
пользовательского канала .
• Failed Attempts Report (отчет неудачных попыток). Содержит информацию об
аварийно завершившихся попытках аутентификации с указанием причин.
• List Logged in Users (список зарегистрированных пользователей). Список
всех пользователей, которые в настоящий момент получают сервис конкрет-
конкретного сервера сетевого доступа или всех серверов, имеющих доступ к CSNT.
• List Disabled Accounts (список отключенных учетных записей). Список всех
учетных записей пользователей, которые в настоящий момент отключены.
• Admin Accounting Reports (отчеты аудита Admin). Списки команд конфигура-
конфигурации, введенных на сервере сетевого доступа TACACS+ (Cisco).
• TACACS+ Accounting Reports (отчеты аудита TACACS+). Содержат время на-
начала, остановки и длительности сеансов, сообщения сервера сетевого досту-
доступа с именами пользователей и информацию аутентификации пользователь-
пользовательского канала.
• Online Documentation (оперативно-доступная документация). Более детальная
информация о конфигурации, возможностях и принципах действия CSNT.
Порядок пунктов этого списка соответствует принятому по умолчанию порядку
следования кнопок навигационной панели. Порядок построения нужной конфигура-
конфигурации зависит от ваших предпочтений.
Исправление ошибок конфигурации CSNT
Если необходимо выявить связанные с CSNT проблемы ААА, начните с анализа
аварийно завершенных попыток доступа из раздела Reports and Activity графического
интерфейса CSNT. Там указан целый ряд типов отказа.
Для диагностики CSNT оказываются полезными команды debug Cisco IOS. В табл.
6.1 представлена часть этих команд с описанием их использования.
210 Часть II. Защита удаленного доступа

1ица 6."К Команды debug CSNT
Команда Описание
debug aaa authentication
debug aaa authorization
debug tacace
debug radius
Отображает информацию аутентификации при взаимодействии клиента и
сервера, использующих TACACS+ или RADIUS
Отображает информацию авторизации при взаимодействии клиента и
сервера, использующих TACACS+
Отображает информацию о взаимодействии клиента IOS и сервера ААА,
использующих TACACS+
Отображает информацию о взаимодействии клиента IOS и сервера ААА,
использующих RADIUS
В табл. 6.2 предоставлена дополнительная информация о диагностике CSNT в
форме типичных проблем и их решений.
Проблема
2. Типичные проблемы CSNT и их решения
Решение
Неудача аутентификации.
Предполагается связь CSNT с серве-
сервером сетевого доступа и аутентифика-
аутентификация с помощью базы данных Windows
NT User Database
Неудача авторизации.
Удаленный пользователь проходит
аутентификацию, но авторизация за-
завершается аварийно
Проверьте следующее.
• Правильно ли введены имя пользователя и пароль? (В пароле раз-
различаются символы верхнего и нижнего регистров.)
• Имеются ли имя пользователя и пароль в базе данных Windows NT
User Database? (Проверьте с помощью диспетчера пользователей.)
• Установлен ли в Windows NT флажок "User must change password at
next login"? (Снимите отметку, если флажок установлен.)
• Имеет ли соответствующий пользователь право локального под-
подключения в окне Windows NT Server (Trust Relationship/Domain)?
• Настроен ли сервер CSNT на аутентификацию с использованием
Windows NT User Database?
• Допускает ли конфигурация CSNT использовать команду grant
dial-in permission to user?
• Если аутентификация данного пользователя выполнялась раньше,
но не выполняется сейчас, не отключена ли соответствующая учет-
учетная запись в Windows NT или CSNT?
• Не истек ли срок действия пароля в Windows NT?
• Не содержит ли имя пользователя недопустимый символ?
Проверьте следующее.
• Отмечены ли соответствующие сетевые сервисы в разделе Group
Settings?
• Если указан протокол IP, то как удаленный пользователь получает
IP-адрес?
• Сконфигурирован ли соответствующий пул IP-адресов на сервере
сетевого доступа?
• Указано ли имя пула IP в разделе Group Settings? (Оставьте соот-
соответствующее поле пустым, если используется пул IP, назначаемый
по умолчанию.)
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
211

Окончание табл. 6.2
Проблема
Решение
Нет записей в отчете о неудачных
попытках.
Если аутентификация или авториза-
авторизация завершается аварийно, а в отчете
неудачных попыток записей нет, то
имеются ошибки установки взаимо-
взаимодействия между CSNT и сервером
сетевого доступа
Проблемы доступа удаленных
клиентов.
Удаленный пользователь использует
Windows 95 и соответствующие сред-
средства удаленного доступа
Проблемы удаленного админист-
администрирования
• Если выполняется авторизация для команды, то внесен ли в конфи-
конфигурацию Cisco IOS соответствующий оператор авторизации ААА для
этой команды?
• Выбрана ли кнопка Permitted соответствующей команды?
• Выбрана ли кнопка Permitted соответствующего параметра команды?
Проверьте следующее.
• Может ли сервер сетевого доступа получить доступ ping к серверу
Windows NT?
• Может ли Windows NT Server получить доступ ping к серверу сете-
сетевого доступа?
• Правильно ли указан IP-адрес хоста TACACS+ в конфигурации
сервера сетевого доступа?
• Одинаковы ли ключи хоста TACACS+, указанные в системах серве-
сервера сетевого доступа и CSNT?
• Указано ли использование аудита TACACS+ в конфигурации сер-
сервера сетевого доступа?
Проверьте следующее.
• Указано ли требование шифрования пароля в разделе Server Type
(тип сервера) окна свойств соединения?
• Указано ли в конфигурации использование соответствующего про-
протокола для соединения?
• Имеет ли выбранный сервер удаленного доступа тип РРР: Windows
95, Windows NT 3.5, Internet?
• Разрешен ли пользователю доступ к соответствующим командам?
Проверьте следующее.
• Правильно ли сконфигурирован Web-броузер? Достаточен ли кэш и
активизирована ли поддержка Java?
• Позволяет ли конфигурация средств удаленного администрирова-
администрирования использовать удаленный доступ с помощью Web-броузера (IP-
адрес, имя пользователя и пароль)?
CiscoSecure ACS для UNIX
CiscoSecure ACS 2.3 для UNIX (CSUNIX) прекрасно интегрируется в сеть пред-
предприятия. CiscoSecure ACS используется для аутентификации пользователей и приня-
принятия решения о том, к каким внутренним сетям и сервисам им разрешен доступ. С
помощью аутентификации на основе базы данных профилей пользователей и групп
система CSUNIX эффективно защищает сеть и сетевые службы предприятия от не-
несанкционированного доступа.
CSUNIX предлагает новые, многопользовательские (основанные на использовании
Java и Web) средства настройки конфигурации и управления системой, упрощающие
администрирование сервера и позволяющие нескольким системным администраторам
212
Часть II. Защита удаленного доступа

одновременно управлять сервисами защиты из разных точек сети. Графический поль-
пользовательский интерфейс поддерживает Web-броузеры Microsoft и Netscape, обеспечи-
обеспечивая межплатформенную совместимость и предлагая защищенное администрирование
на основе промышленного стандарта SSL (Secure Sockets Layer — протокол защищен-
защищенных сокетов).
CSUNIX включает программное обеспечение сервера идентификационных карт
CryptoCard и поддержку серверов идентификационных карт Secure Computing Corporation
и Security Dynamics Technologies. Идентификационные карты на сегодня являются наибо-
наиболее надежным средством аутентификации удаленных пользователей, позволяющим запре-
запретить доступ к частной информации неавторизованным пользователям.
CSUNIX теперь поддерживает технологии лидеров индустрии реляционных баз дан-
данных — Sybase и Oracle, что позволяет забыть о нераспределенной архитектуре и прежних
ограничениях на масштабируемость и избыточность, а также о сложностях при настрой-
настройке профилей пользователей и групп и управлении ими.
Возможности CSUNIX
При распространении локальных и глобальных сетей защита играет все более важную
роль. Необходимо обеспечить простой доступ к информации в сети и в то же время запре-
запретить доступ к ней несанкционированному персоналу. Сервер CSUNIX помогает обеспе-
обеспечить защиту сети и контролировать действия пользователей, подключающихся к ней.
Чтобы обеспечить такую защиту и контроль, CSUNIX использует протокол
TACACS+. Для защиты доступа к сети и предоставления возможности централизо-
централизованного управления доступом к сети TACACS+ использует средства ААА.
CSUNIX использует интерфейс броузера и позволяет выполнить следующие задачи.
• Управление клиентами сервера сетевого доступа, поддерживающими TACACS+
и RADIUS.
• Управление поддерживающими TACACS+ и RADIUS серверами CiscoSecure ACS.
• Создание удаленных соединений с сетями VPDN (Virtual Private Dial-up
Network — виртуальная частная коммутируемая сеть) и управление ими.
• Настройка профиля, используемого по умолчанию для гостевых пользователей
и пользователей, подключающихся с помощью сервера сетевого доступа и авто-
авторизованных другой системой управления доступом.
• Установка привилегий администрирования промежуточного уровня.
• Настройка кэша маркеров доступа для пользователей, входящих в сеть через
сервер идентификационных карт.
• Установка абсолютных атрибутов группового уровня.
• Поддержка пользователей идентификационных карт Administer Secure Computing.
Дополнительные возможности включают следующее.
• Управление сеансом связи. Если вы, имея лицензию на использование модуля
DSM (CiscoSecure Distributed Session Manager — диспетчер распределенных се-
сеансов CiscoSecure), установили и настроили его, то с помощью CiscoSecure ACS
можно ограничить число сеансов, которые допускается открыть конкретному
пользователю, группе или VPDN. Если CiscoSecure ACS устанавливается без
модуля DSM, CiscoSecure ACS 2.3 для UNIX допускает частичную поддержку
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 213

ограничения числа сеансов, позволяя задать соответствующий предел для инди-
индивидуальных пользователей и для групп пользователей.
• Поддержка интерфейса командной строки UNIX.
• Кэширование данных профилей для ускорения процедуры аутентификации.
• Поддержка репликации баз данных Oracle или Sybase, содержащих данные
профилей для множества серверов CiscoSecure ACS.
При использовании CSUNIX изменения в базу данных, которая управляет защи-
защитой сети, приходится вносить всего на нескольких серверах защиты, вместо того что-
чтобы изменять конфигурацию каждого сервера сетевого доступа в сети.
С помощью CSUNIX можно добавлять в сеть новых пользователей и расширять
число сервисов, не создавая системным администраторам дополнительных проблем
защиты. При добавлении новых пользователей системные администраторы должны
вносить незначительные изменения в нескольких точках сети, не опасаясь нарушения
надежности сетевой защиты.
CSUNIX можно использовать с протоколом TACACS+ или RADIUS либо и с тем,
и другим. При этом некоторые возможности поддерживаются обоими протоколами,
но некоторые — только одним.
Системные требования CSUNIX
Перед установкой CSUNIX убедитесь, что соответствующая система отвечает сле-
следующим минимальным требованиям (чтобы ускорить работу сервисов, необходимо
иметь оперативную память, рабочую частоту процессора, дисковое пространство и
скорость работы жесткого диска, соответствующие условиям сетевой среды).
• UltraSPARC 1 или совместимая система (без установки модуля DSM).
• UltraSPARC 10 или совместимая система (с установкой DSM и Oracle или Sybase).
• 128 Мбайт RAM; 256 Мбайт RAM для Oracle или Sybase.
• 256 Мбайт (SQL Anywhere) или 512 Мбайт (Oracle, Sybase) дискового простран-
пространства для свопинга.
• По крайней мере 256 Мбайт свободного дискового пространства (SQL
Anywhere).
• По крайней мере 2 Гбайт свободного дискового пространства (Oracle или Sybase).
• Дисковод CD-ROM.
• Solaris 2.6 или Solaris 2.5.1 с обновлениями.
Настройка TACACS+
для CiscoSecure ACS
Для того чтобы выбрать подходящую конфигурацию TACACS+ на маршрутизаторе
Cisco или сервере сетевого доступа, необходимо выполнить следующие шаги.
1. С использованием команды глобальной конфигурации ааа new-model активизи-
активизируйте средства ААА (если вы планируете использовать TACACS+, поддержка
214 Часть II. Защита удаленного доступа

средств ААА должна быть активизирована). С помощью команды tacacs-server
host задайте IP-адрес одного или нескольких демонов TACACS+. Используйте
команду tacacs-server key, чтобы указать ключ шифрования, посредством кото-
которого будут шифроваться все сообщения обмена между сервером сетевого доступа
и демоном TACACS+. Тот же ключ должен быть указан в демоне TACACS+.
2. С помощью команды глобальной конфигурации ааа authentication определите
списки методов аутентификации TACACS+.
3. С помощью команд конфигурации линий и интерфейсов активизируйте исполь-
использование списков методов для соответствующих интерфейсов.
Если необходимо, примените команду глобальной конфигурации ааа authorization,
чтобы настроить средства авторизации для сервера сетевого доступа. В отличие от ау-
аутентификации, параметры которой могут быть указаны для каждой линии или интер-
интерфейса в отдельности, параметры авторизации выбираются глобально для всего сервера
сетевого доступа.
Активизация и настройка ААА
Чтобы выбрать конфигурацию TACACS+ для CiscoSecure ACS, используется ко-
команда tacacs-server с опциями host и key. Синтаксис этой команды следующий:
tacacs-server host имя-хоста [single-connection] [port число]
[timeout секунды] [key строка]
tacacs-server key ключ
Аргументы команды и их значения объясняются в следующей таблице.
Аргумент команды Описание
имя-хоста Имя или IP-адрес хоста
single-connection (необязательный) Поддержка маршрутизатором одного открытого соединения для получе-
получения подтверждения от сервера AAA/TACACS+ (CiscoSecure Release 1.0.1 и более поздние
версии). Эта команда не предполагает автоматической проверки и приводит к ошибке,
если в системе указанного хоста демон CiscoSecure не выполняется
port число (необязательный) Указывает номер порта сервера. Этот параметр меняет значение
порта по умолчанию, которым является порт 49. Допустимыми являются номера в
диапазоне от 1 до 65535
timeout секунды (необязательный) Указывает предельное время в секундах. Этот параметр меняет
глобальное значение предельного времени (установленное с помощью команды
tacacs-server timeout) только для данного сервера
key строка (необязательный) Указывает ключ аутентификации и шифрования (этот ключ должен
соответствовать ключу демона TACACS+). Меняет ключ, заданный командой гло-
глобальной конфигурации tacacs-server key, только для данного сервера
ключ Ключ, используемый для аутентификации и шифрования (этот ключ должен соответ-
соответствовать ключу демона TACACS+)
Чтобы начать процедуру глобальной конфигурации, используйте показанные в
примере 6.1 команды с подходящими IP-адресами серверов CiscoSecure ACS и вашим
собственным ключом шифрования.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 215

[Пример 6.1. Активизация TACACS+
L .--ил-..-¦:¦¦ ,.vJ .-s.1' .с s.-J-...'—.. ._
Router(config)Iaaa new-model
Router(config)jftacacs-server host 10 1.1.4
Router(config)jftacacs-server key 2bor!2b§?
В примере 6.1 значение 2bor!2b§? является ключом шифрования, используемым
совместно сервером сетевого доступа и сервером CiscoSecure ACS. Ключ шифрования,
который вы выберете для вашей сетевой среды, должен храниться в тайне, чтобы
обеспечить защиту паролей, пересылаемых в процессе аутентификации от сервера се-
сетевого доступа к серверу CiscoSecure ACS. Сервер сетевого доступа автоматически
шифрует этот ключ при пересылке его по сети, но хранит его в нешифрованном виде.
При выборе ключа TACACS+ для нескольких серверов TACACS+ помните о том,
что ключ должен быть одним и тем же для всех серверов TACACS+, связанных с дан-
данным сервером сетевого доступа.
Повторяя команды tacacs-server host, можно указать несколько серверов
CiscoSecure ACS.
Команды конфигурации ААА
После глобальной активизации ААА на сервере доступа определяются списки ме-
методов аутентификации с последующим их применением к линиям и интерфейсам.
Списки методов аутентификации определяют профили защиты, в которых указывают-
указываются сервисы (РРР, ARAP или NASI) или метод входа в систему и аутентификации
(local, TACACS+, RADIUS, login или enable).
Чтобы задать список методов аутентификации, используют команду ааа
authentication. При этом необходимо сделать следующее.
1. Указать сервис (РРР, ARAP или NASI) или аутентификацию входа в систему (login).
2. Определить имя списка или список, используемый по умолчанию. Именем спи-
списка может быть любая буквенно-цифровая строка. В каждом списке можно ука-
указать только один входной протокол, но можно создать множество списков мето-
методов аутентификации. Каждому списку должно быть присвоено уникальное имя.
3. Указать метод аутентификации. Можно указать до четырех методов.
После определения списков методов аутентификации примените их к одному из
следующих объектов.
• Линии. Это линии tty, vty, консоли, aux и async или консольный порт для входа
в систему и асинхронные линии (в большинстве случаев) для ARA.
• Интерфейсы. Синхронный, асинхронный и виртуальный интерфейсы для РРР,
SLIP, NASI или ARAP.
Пример конфигурации средств AAA/TACACS+
сервера сетевого доступа
В примере 6.2 предлагается вариант конфигурации сервера сетевого доступа, до-
допускающей применение TACACS+. Листинг был отредактирован и содержит только
команды, относящиеся к средствам ААА.
216 Часть II. Защита удаленного доступа

Пример 6.2. Конфигурация средств ААА сервера сетевого доступа при
использовании TACACS+
ааа new model
ааа authentication login default tacacB+
ааа authentication login no tacacB enable
aaa authentication ppp default tacacB+
aaa authorization exec tacacB+
aaa authorization network tacace+
aaa accounting exec вtart вtop tacace+
aaa accounting network вtart-вtop tacace+
enable Becret 5 $l$xlEE$33AXd2VTVvhbWL0A37tQ3.
enable paввword 7 15141905172924
!
ивегпате admin paBBWord 7 094E4F0A1201181D19
!
interface Serial2
ppp authentication pap
!
tacacB eerver host 10 1 1 4
tacacB eerver key ciecoBecure
!
line con 0
login authentication no_tacacs
В табл. 6.3 приведены описания команд, используемых в примере 6.2.
Команда
6.3. Команды конфигурации ААА сер
использовании TACACS+
Описание
ааа new-model
ааа authentication login
default tacacs+ enable
aaa authentication login
default tacacs+
aaa authentication login
no tacacs enable
Активизирует модель управления доступом ААА. Для отмены дейст-
действия этой команды используется ее форма по. Впоследствии можно
восстановить действие ранее заданных команд ААА с помощью по-
повторного ввода этой команды
Указывает, что в случае отсутствия ответе сервера TACACS+ можно полу-
получить доступ к серверу доступа с помощью пароля enable. Если пароль
enable для маршрутизатора не установлен, вы не сможете получить дос-
доступ, пока не начнет выполняться демон TACACS+ UNIX или соответст-
соответствующий процесс Windows NT Server, использующий имена пользователей
и пароли. Пароль enable в данном случае является "аварийным" методом
аутентификации. В качестве "аварийного" метода можно указать попе
(это значит, что если все попытки применить указанные методы будут
неудачными, аутентификацию можно не выполнять)
Определяет аутентификацию ААА начала сеанса с использованием
списка по умолчанию и базы данных TACACS+
Определяет аутентификацию ААА с помощью пароля enable при
входе в систему
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
217

Окончание табл. 6.3
Команда
Описание
ааа authentication ppp default
tacacs+
ааа authorization exec tacacs+
ааа authorization network
tacacs+
aaa accounting exec start-stop
tacacs+
aaa accounting network start-
stop tacacs+
username admin password 7
094E4F0A1201181D19
interface Serial2 ppp
authentication pap
ppp authentication if-needed
tacacs-server key
line con 0 login authentication
no tacacs
Определяет аутентификацию ААА с помощью списка по умолчанию и
базы данных TACACS+ для соединений РРР
Определяет авторизацию ААА с помощью базы данных TACACS+ для
проверки права доступа пользователя к командному процессору
EXEC на сервере сетевого доступа
Определяет авторизацию ААА с помощью базы данных TACACS+ для
всех связанных с сетевыми сервисами запросов (включая SLIP, PPP,
PPP NCP и ARAP). База данных TACACS+ и сервер сетевого доступа
должны быть сконфигурированы с указанием авторизации сервисов
Определяет аудит ААА с использованием базы данных TACACS+ для
процессов EXEC на сервере сетевого доступа с записью времени
начала и завершения сеанса
Определяет аудит ААА с использованием базы данных TACACS+ для
всех связанных с сетевыми сервисами запросов (включая SLIP, PPP,
PPP NCP и ARAP) с записью времени начала и завершения сеанса
Устанавливает имя пользователя и пароль в локальной базе данных
защиты для использования с командой ааа authentication
local-override
Определяет аутентификацию PAP для соединения РРР. Можно также
указать CHAP или РАР и CHAP одновременно
Указание серверу сетевого доступа не выполнять аутентификацию
РАР или CHAP, если пользователь уже прошел аутентификацию.
Этот параметр доступен только для асинхронного интерфейса
Определяет использование общего ключа в качестве ключа по умол-
умолчанию, если ключ хоста не установлен. Предпочтительнее опреде-
определить свой ключ для каждого хоста. Можно не определять общие
ключи ни в системе клиента (сервер сетевого доступа), ни в сервере
защиты (CiscoSecure), чтобы связь не шифровалась. Это может ока-
оказаться полезным в экспериментальных или учебных условиях, но
настоятельно не рекомендуется в условиях реального предприятия
Указывает, что для аутентификации ААА по линии консоли должен
использоваться список no tacacs
Тестирование TACACS+ и исправление ошибок
конфигурации
Для трассировки пакетов TACACS+ используются команды debug. В табл. 6.4
представлен список некоторых важных команд отладки TACACS+.
Команда debug дает более подробную информацию, если сконфигурировать мар-
маршрутизатор с помощью следующих команд.
service timeBtamps тип [uptime]
service timestamps тип datetime [msec] [localtime] [show-timezone]
218
Часть II. Защита удаленного доступа

| для тестирования TACACS+
Команды и аргументы
Описание
debug tacacs
debug tacacs events
debug aaa authentication
Отображает сообщения отладки для пакетов TACACS+
Отображает информацию процесса справки TACACS+
С помощью этой команды можно увидеть, какие методы аутентификации
используются и каковы результаты их использования
Значение аргументов команды объясняется в следующей таблице.
Аргумент команды
Описание
тип
uptime
datetime
msec
localtime
show-timezone
Указывает тип сообщения, для которого требуется штамп времени: отла-
отладочное или контрольное
(необязательный) Использование времени, прошедшего с момента пере-
перезагрузки системы
Использование штампа времени, содержащего дату и время
(необязательный) Включение в штамп времени значений миллисекунд
(необязательный) Использование в штампе времени локального зонного
времени
(необязательный) Включение в штамп времени идентификатора зоны времени.
В листинге примера 6.3 представлен вариант вывода команды debug tacace events,
где имеется информация об открытии и завершении соединения TCP с сервером
TACACS+, данные операций чтения и записи соответствующего соединения, а также
информация о состоянии этого ТСР-соединения.
routerfdebug tacacs events
*LINK-3-UPDOWN: Interface Async2, changed state to up
00:03:16: TAC+: Opening TCP/IP to 10.1.1.4/49 timeout=15
00:03:16: TAC+: Opened TCP/IP handle 0x48a87C to 10.1.1.4/49
00:03:16: TAC+: periodic timer started
00:03:16: TAC+: 10.1.1.4 req=3BD868 id=-1242409656 ver=193 handle=0x48A87C (ESTAB)
expire=14 AUTHEN/START/SENDAUTH/CHAP queued
00:03:17: TAC+: 10.1.1.4 ESTAB 3BD868 wrote 46 of 46 bytes
00:03:22: TAC+: 10.1.1.4 CLOSEWAIT read=12 wanted=12 alloc=12 got=12
00:03:22: TAC+: 10.1.1.4 CLOSEWAIT read=61 wanted=61 alloc=61 got=49
00:03:22: TAC+: 10.1.1.4 received 61 byte reply for 3BD868
00:03:22: TAC+: req=3BD868 id=-1242409656 ver=193 handle=0x48A87C (CLOSEWAIT)
expire=9 AUTHEN/START/SENDAUTH/CHAP processed
00:03:22: TAC+: periodic timer stopped (queue empty)
00:03:22: TAC+: Closing TCP/IP 0x48a87C connection to 10.1.1.4/49
00:03:22: TAC+: Opening TCP/IP to 10.1.1.4/49 timeout=15
00:03:22: TAC+: Opened TCP/IP handle 0X489F08 to 10.1.1.4/49
00:03:22: TAC+: periodic timer started
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
219

00:03:22: ТАС+: 10.1.1.4 req=3BD868 id=299214410 ver=192 handle=0x489F08 (ESTAB)
expire=14 AUTHEN/START/SENDPaSS/cHAP queued
00:03:23: TAC+: 10.1.1.4 ESTAB 3BD868 wrote 41 of 41 bytes
00:03:23: TAC+: 10.1.1.4 CLOSEWAIT read=12 wanted=12 alloc=12 got=12
00:03:23: TAC+: 10.1.1.4 CLOSEWAIT read=21 wanted=21 alloc=21 got=9
00:03:23: TAC+: 10.1.1.4 received 21 byte reply for 3BD868
00:03:23: TAC+: req=3BD868 id=299214410 ver=192 handle=0x489F08 (GLOSEWAIT)
expire=13 AUTHEN/START/SENDPASS/CHAP processed
00:03:23: TAC+: periodic timer stopped (queue empty)
Большинство сообщений TACACS являются либо вполне понятными, либо пред-
предназначены для использования только специалистами. Мы приведем здесь объяснения
нескольких таких сообщений. В примере 6.4 показан запрос установки соединения с
ТСР-портом 49 хоста 10.1.1.4, которое должно быть аннулировано через 15 секунд, ес-
если не будет получен ответ.
debug tacacs events: запрос
00:03:16: ТАС+; Opening TCP/IP to 10.1.1.4/49 timeout=15
В примере 6.5 показано сообщение, подтверждающее успешное завершение операции
открытия и содержащее адрес внутреннего дескриптора TCP для данного соединения.
tacacs events: успешное вы-
00:03:16: ТАС+: Opened TCP/IP handle 0x48A87c to 10.1.1.4/49
В примере 6.6 показаны сообщения команды debug aaa authentication, соответст-
соответствующие успешной попытке входа в систему с использованием TACACS+. Видно, что
при этом для аутентификации использовался метод TACACS+. Обратите внимание и
на то, что успешное завершение процесса аутентификации характеризуется соответст-
соответствующим состоянием AAA/AUTHEN.
спешному входу в систему
Ш
14:01:17: AAA/AUTHEN E67936829): Method=TACACS+
14:01:17: ТАС+: send AUTHEN/CONT packet
14:01:17: TAC+ E67936829): received authen response status = PASS
14:01:17: AAA/AUTHEN E67936829) : status = PASS
Сеанс AAA может возвратить одно из следующих состояний: pass (успех), fail
(неудача) и error (ошибка).
В примере 6.7 показаны сообщения команды debug aaa authentication, соответст-
соответствующие неудачной попытке.
220
Часть II. Защита удаленного доступа

ug, указывающий на неудачное завершение процесса
13:53:35: ТАС+: Opening TCP/IP connection to 10.1.1.4/49
13:53:35: ТАС+: Sending TCP/IP packet number 416942312-1 to 10.1.1.4/49
(AUTHEN/START)
13:53:35: TAC+: Receiving TCP/IP packet number 416942312-2 from 10.1.1.4/49
13:53:35: TAC+ D16942312): received authen response status = GETUSER
13:53:37: TAC+: send AUTHEN/CONT packet
13:53:37: TAC+: Sending TCP/IP packet number 416942312-3 to 10.1.1.4/49
(AUTHEN/CONT)
13:53:37: TAC+: Receiving TCP/IP packet number 416942312-4 from 10.1.1.4/49
13:53:37: TAC+ D16942312): received authen response status = GETPASS
13:53:38: TAC+: send AUTHEN/CONT packet
13:53:38: TAC+: Sending TCP/IP packet number 416942312-5 to 10.1.1.4/49
(ATHEN/CONT)
13:53:38: TAC+: Receiving TCP/IP packet number 416942312-6 from 10.1.1.4/49
13:53:38: TAC+ D16942312): received authen response status = FAIL
13:53:40: TAC+: Closing TCP/IP connection to 10.1.1.4/49
В примере 6.8 показаны сообщения команды debug aaa authentication, соответст-
соответствующие успешной попытке.
ающий на успешное завершение процесса
14:00:09: ТАС+: Opening TCP/IP connection to 10.1.1.4/49
14:00:09: ТАС+: Sending TCP/IP packet number 383258052-1 to 10.1.1.4/49
(AUTHEN/START)
14:00:09: TAC+: Receiving TCP/IP packet number 383258052-2 from 10.1.1.4/49
14:00:09: TAC+ C83258052): received authen response status = GETUSER
14:00:10: TAC+: send AUTHEN/CONT packet
14:00:10: TAC+: Sending TCP/IP packet number 383258052-3 to 10.1.1.4/49
(AUTHEN/CONT)
14:00:10: TAC+: Receiving TCP/IP packet number 383258052 4 from 10.1.1.4/49
14:00:10: TAC+ C83258052): received authen response status = GETPASS
14:00:14: TAC+: send AUTHEN/CONT packet
14:00:14: TAC+: Sending TCP/IP packet number 383258052-5 to 10.1.1.4/49
(AUTHEN/CONT)
14:00:14: TAC+: Receiving TCP/IP packet number 383258052-6 from 10.1.1.4/49
14:00:14: TAC+ C83258052): received authen response status = PASS
14:00:14: TAC+: Closing TCP/IP connection to 10.1.1.4/49
Для получения более подробной информации обратитесь к руководству Debug
Command Reference Cisco (руководство по использованию команд отладки).
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 221

Настройка RADIUS
для CiscoSecure ACS
Процесс настройки сервера RADIUS подобен настройке сервера TACACS+, опи-
описанной в этой главе выше. RADIUS является одной из опций, предлагаемых коман-
командами ААА. Чтобы сконфигурировать RADIUS на маршрутизаторе Cisco или сервере
доступа, выполните следующие шаги.
1. С помощью команды глобальной конфигурации ааа new-model активизируйте
средства ААА (если вы планируете использовать RADIUS, поддержка средств
ААА должна быть активизирована).
2. Посредством команды глобальной конфигурации ааа authentication определите
списки методов аутентификации RADIUS.
3. С помощью команд конфигурации линий и интерфейсов активизируйте исполь-
использование списков методов для соответствующих интерфейсов.
Если необходимо, примените глобальную команду ааа authorization для автори-
авторизации конкретных функций пользователя. Если необходимо, примените команду ааа
accounting для активизации средств аудита для соединений RADIUS.
Активизация и настройка ААА
Чтобы выбрать конфигурацию RADIUS для CiscoSecure ACS, воспользуйтесь ко-
командой radius-server с опциями host и key. Синтаксис этой команды следующий.
radius-server host {имя-хоста \ ip-адрес} [auth-port номер-порта]
[acct-port номер-порта}
radius-server key строка
Значение аргументов команды объясняется в следующей таблице.
Аргумент команды Описание
имя-хоста Имя DNS хоста сервера RADIUS
ip-адрес IP-адрес хоста сервера RADIUS
auth-port (необязательный) Указывает UDP-порт назначения для запросов аутентификации
иомер-порта (необязательный) Номер порта для запросов аутентификации. Если указано значе-
значение, равное 0, хост для аутентификации не используется
acct-port (необязательный) Указывает UDP-порт назначения для запросов аудита
иомер-порта (необязательный) Номер порта для запросов аудита. Если указано значение, равное
О, хост для аудита не используется
строка Ключ аутентификации и шифрования (этот ключ должен соответствовать ключу шиф-
шифрования, используемому демоном RADIUS)
Команда radiue-eerver host задает IP-адрес или имя хоста удаленного сервера
RADIUS. Команда radius-server key определяет ключ, используемый маршрутизато-
маршрутизатором и сервером RADIUS для шифрования паролей и ответных сообщений.
222 Часть II. Защита удаленного доступа

Эти две команды для RADIUS обязательны, в то время как другие команды
(например, radius-server directed-request и radius-server retransmit) определяют
необязательные функции и дополнительные параметры. В примере 6.9 показаны ко-
команды активизации средств AAA/RADIUS на сервере сетевого доступа.
¦^^^—^-^^^^^
Пример 6.9. Активи
• »\"М':
Router(config)*ааа new-model
Router (config)#radlus-server host 10.1.1.4
Router(config)#radius-server key 2bor!2b8?
В данном примере ключ 2bor!2b8? является ключом шифрования, используемым
совместно сервером сетевого доступа и сервером CiscoSecure ACS. Ключ шифрования,
который вы выбираете для вашей сетевой среды, должен храниться в тайне, чтобы
обеспечить защиту паролей, пересылаемых в процессе аутентификации от сервера се-
сетевого доступа к серверу CiscoSecure ACS. Сервер сетевого доступа автоматически
шифрует этот ключ при пересылке, но не хранит его в шифрованном виде.
Команды конфигурации ААА
После глобальной активизации средств ААА на сервере доступа определяются спи-
списки методов аутентификации с последующим их применением к линиям и интерфей-
интерфейсам. Списки методов аутентификации определяют профили защиты, в которых указы-
указываются сервисы (РРР, ARAP или NASI) или метод входа в систему и аутентификации
(local, TACACS+, RADIUS, login или enable).
Чтобы задать список методов аутентификации, воспользуйтесь командой аутенти-
аутентификации ааа authentication. При этом необходимо сделать следующее.
1. Указать сервис (РРР, ARAP или NASI) или аутентификацию входа в систему (login).
2. Определить имя списка или список, используемый по умолчанию. Именем спи-
списка может быть любая буквенно-цифровая строка. В каждом списке можно ука-
указать только один входной протокол, но можно создать множество списков мето-
методов аутентификации. Каждому списку должно быть присвоено уникальное имя.
3. Указать метод аутентификации. Можно указать до четырех методов.
После определения списков методов аутентификации, примените их к одному из
следующих объектов.
• Линии. Это линии tty, vty, консоли, aux и async или консольный порт для входа
в систему и асинхронные линии (в большинстве случаев) для ARA.
• Интерфейсы. Синхронный, асинхронный и виртуальный интерфейсы для РРР,
SLIP, NASI или ARAP.
Пример конфигурации средств AAA/RADIUS
сервера сетевого доступа
В примере 6.10 поставщик услуг Internet (ISP) предлагает своим потребителям
только сервис РРР. Команда ааа authentication ppp dialins radius local определяет
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 223

использование аутентификации RADIUS для линий, автоматически распознающих
входящие пакеты РРР.
<фигурация I
radius-server host 123.45.1.2
radius server key myRaDIUSpassWoRd
username root password ALongPassword
aaa authentication ppp dialins radius local
aaa authorization network radius local
aaa authentication login admins local
aaa authorization exec local if authenticated
aaa accounting network start-stop radius
line 1 16
autoselect ppp
login authentication admins
modem ri-is-cd
interface group-async 1
encapsulation ppp
ppp authentication pap dialins
1ЙС PPP
¦ .,
В табл. 6.5 представлены параметры команд, используемых для настройки RADIUS
в примере 6.10.
Команда
Описание
ppp authentication pap dialins
aaa authorization network radius local
Определяет использование PAP для удаленной аутен-
аутентификации
Приписывает адрес и другие параметры пользователю
RADIUS
aaa accounting network start-stop radius Определяет параметры наблюдения за использовани-
использованием RADIUS
aaa authentication login admins local
Определяет доступ администратора к внутренней базе
данных имен пользователей и паролей. Предназначена
для применения сетевыми администраторами в про-
процессе отладки
Тестирование RADIUS и исправление ошибок
конфигурации
Отладка конфигурации средств аутентификации и аудита RADIUS, а также других
сервисов выполняется с помощью команд debug и show. В табл. 6.6 представлены не-
некоторые из наиболее часто используемых команд debug и show.
В примере 6.11 представлена часть данных вывода команды debug radius, соответ-
соответствующая успешной попытке входа в систему, на что указывает сообщение Access-
Accept (разрешение доступа).
224
Часть II. Защита удаленного доступа

Команда
Описание
debug aaa authentication
debug aaa authorization
debug aaa accounting
show accounting
Отладка аутентификации AAA
Отладка авторизации AAA
Отладка аудита AAA
Относится не только к командам RADIUS; отображает информацию о
событиях аудита
.
Пример 6.11. Вывод команды
Routeridebug radius
13:59:02: Radius: IPC Send 0.0.0.0:1645, Access-Request, id OxB, len 56
13.59:02: Attribute 4 6 AC150E5A
13:59:02: Attribute 5 6 0000000A
13:59:02: Attribute 1 6 62696C6C
13:59:02: Attribute 2 18 0531FEA3
13:59:04: Radius: Received from 171.69.1.152:1645, Access-Accept, id 0x8, len 26
13.59:04:
Attribute 6 6 00000001
Чтобы отсортировать информацию отладки, воспользуйтесь словарем атрибутов/
значений RADIUS, например тем, который предлагается в документации CSUNIX.
Вывод команды отладки RADIUS в примере 6.12 содержит последовательность со-
сообщений, указывающих на несоответствие секретного ключа ключу сервера RADIUS.
Там показано аварийное завершение попытки начала сеанса по причине несоответст-
несоответствия ключей (проблема конфигурации).
Пример 6.12. Вывод ¦командЦЙеЬи^1у^зыв1а1йрий;^У^о^ветс^1^ЙЯ
Routeridebug radius
22:15:45: RADIUS: IPC Send 0.0.0.0:1645, Access-Request, id OxB, len 52
22:15:45: Attribute 4 6 AC150E5A
22:15:45: Attribute 5 6 0000000E
22:15:45: Attribute 1 2 0212D2C3
22:15:45: Attribute 2 18 D2C36202
22:15:45: RADIUS: Received from 171.69.1.152:1645, Access-Reject, id OxB, len 20
22:15:45: RADIUS: Reply for 11 fails decrypt
В примере 6.13 активизированы debug aaa authentication и debug radius. Вывод
отражает попытку входа в систему, завершившуюся аварийно из-за ввода неправиль-
неправильного пароля.
Routeridebug aaa authentication
22:13:34 AAA/AUTHEN: create user user=" "user=" port='ttyl4'
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
225

rem_addr='172.21.14.90' authen_type=l service=l priv=l
22:ТЗ:34 AAA/AUTHEN/START (O):~local override set: GETUSER
Username: mar
Password
22:13:37: AAA/AUTHEN/CONT @): continue_login
22:13:37: AAA/AUTHEN @): Statue = GETUSER
22:13:37: AAA/AUTHEN/CONT @): local_override. Call start_login again
22:13:37: AAA/AUTHEN/START @): port='ttyl4' list='boo' action=LOGIN
service LOGIN
22:13:37: AAA/AUTHEN/START E295640): found list
22:13:37: AAA/AUTHEN/START E91331466): Method=RADIUS
22:13:37: AAA/AUTHEN E91331466): Status = GETPASS
22:13:37: AAA/AUTHEN E91331466): METHOD=radius
22:13:37: RADIUS: IPC SEND 0.0.0.0 :1645, ACCESS-REQUEST, ID 0X9, LEN 55
22:13:37: ATTRIBUTE 4 6 AC150E5A
22:13:37: ATTRIBUTE 5 6 0OOOOOOE
22:13:37: ATTRIBUTE 5 6 6D617202
22:13:37: ATTRIBUTE 2 18 AC150E5A
22:13:37: RADIUS: received from 171.69.1.152:1645 Access-Reject, id 0x9, len 20
22:1:41: AAA/AUTHEN E913331466) : Status = FAIL
# Authentication failed.
Username:
В примере 6.14 показан вариант вывода команды show accounting.
Пример 6.14. Вывод команд*»!
Routertt show accounting
Active Accounted actions on ttyO, User chard Priv 1
Task ID 4425, EXEC Accounting record, 0:04:53 Elapsed
task_id=4425 service=exec port=0
Task ID 3759, Connection Accounting record, 0:01:06 Elapsed
task id=3759 service=exec port=0 protocol=telnet address=171.19.3.78
cmd=grill
Active Accounted actions on ttylO, User chard Priv 1
Task ID 5115, EXEC Accounting record, 0:04:07 Elapsed
task_id=5115 service=exec port=10
Task ID 2593, Connection Accounting record, 0:00:56 Elapsed
task_id=2593 service=exec port=10 protocol=tn3270 address=172.21.14.90
cmd-tn snap
Active Accounted actions on ttyll, User тагу Priv 1
Task ID 7390, EXEC Accounting record, 0:00:25 Elapsed
task_id=7390 service=exec port=ll
Task ID 931, Connection Accounting record, 0:00:20 Elapsed
task id=931 service=exec port=ll protocol=telnet address=171.19.6.129
cmd=coal
Информация, отображаемая командой debug ааа accounting, не зависит от протокола,
используемого для пересылки данных аудита серверу. Относящиеся к конкретным прото-
226 Часть II. Защита удаленного доступа

колам команды debug tacacs и debug radius используются тогда, когда необходимо полу-
получить более подробную информацию о событиях на уровне соответствующих протоколов.
В примере 6.15 показан вариант вывода команды debug aaa accounting.
эманды debug aaa accounting
routertdebug aaa accounting
AAA Accounting debugging is on
16:49:21: AAA/ACCT: EXEC acct start, line 10
16:49:32: AAA/ACCT: Connect start, line 10, glare
16:49:47: AAA/ACCT: Connection acct stop:
task_id=70 service=exec port=10 protocol=telnet address=171.69.3.78 cmd=glare
bytes_in=308 bytes_out=76 paks in=45 paks out=54 elapsed time=14
Двойная аутентификация
Двойная аутентификация предусматривает дополнительную аутентификацию для
сеансов РРР. Ранее аутентификация сеансов РРР ограничивалась аутентификацией
РАР или CHAP. При двойной аутентификации требуется, чтобы удаленные пользова-
пользователи перед получением доступа к сети прошли вторую стадию аутентификации (после
аутентификации CHAP или РАР).
Проблемы использования только
аутентификации РАР или CHAP
Удаленный пользователь, пытающийся получить доступ РРР к локальному хосту
(серверу сетевого доступа или маршрутизатору), может быть аутентифицирован с по-
помощью РАР или CHAP. Однако РАР и CHAP полагаются на секретный пароль, кото-
который должен храниться и в системе удаленного пользователя, и в системе локального
хоста. Если нарушитель получит доступ к любому из этих хостов, секретный пароль
будет скомпрометирован.
Например, Боб часто использует портативный компьютер для входа в сеть своего
предприятия, где для аутентификации применяется только протокол CHAP. Если этот
портативный компьютер попадет в руки нарушителя, нарушитель получит пароль
CHAP этого компьютера. Затем этот пароль (вместе с портативным компьютером Бо-
Боба или без него) может использоваться для доступа к сети компании.
Кроме того, аутентификация РАР и CHAP не позволяет присвоить различные уровни
привилегий сетевого доступа разным удаленным пользователям,.использующим один и тот
же удаленный компьютер. Поскольку конкретному хосту присваивается один набор при-
привилегий, каждый, кто использует этот хост, получает один и тот же набор привилегий.
Решение, предлагаемое двойной
аутентификацией
Если конфигурация локального хоста (сервера сетевого доступа или маршрутизато-
маршрутизатора) предполагает применение двойной аутентификации, удаленный пользователь для
получения доступа к сети должен пройти вторую стадию аутентификации. При этом
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 227

необходимо ввести пароль, который известен пользователю, но не хранится в системе
удаленного хоста. Таким образом, вторая аутентификация связана с конкретным
пользователем, а не с хостом. Это обеспечивает дополнительную степень защиты, ко-
которая будет эффективна даже в случае похищения удаленного компьютера.
Кроме того, это позволяет выбрать индивидуальные привилегии для каждого поль-
пользователя. При повторной аутентификации могут также использоваться одноразовые
пароли (например, пароли идентификационных карт), которые не поддерживаются
протоколом CHAP. Похищенный одноразовый пароль пользователя оказывается для
нарушителя бесполезным.
Двойная аутентификация имеет две стадии аутентификации/авторизации, которые
начинаются после подключения удаленного пользователя и инициализации сеанса
связи РРР. На первой стадии выполняется аутентификация РАР (или CHAP) удален-
удаленного хоста, а затем в рамках РРР ведутся переговоры относительно авторизации ААА
удаленного хоста (при этом определяются привилегии доступа к сети). По завершении
этой стадии удаленный пользователь получает ограниченный сетевой доступ, позво-
позволяющий только доступ Telnet к локальному хосту.
На второй стадии удаленный пользователь должен с помощью Telnet подключить-
подключиться к локальному хосту (серверу сетевого доступа) для прохождения аутентификации
на уровне пользователя. При подключении удаленный пользователь проходит аутен-
аутентификацию ААА входа в систему. Затем пользователь должен ввести команду access-
profile, чтобы пройти повторную авторизацию ААА. По завершении авторизации
пользователь оказывается аутентифицированным дважды, и теперь он может получить
доступ к сети в соответствии с назначенными ему привилегиями.
То, какие сетевые привилегии получают удаленные пользователи после каждой стадии
аутентификации, определяет системный администратор посредством выбора соответст-
соответствующих параметров конфигурации сервера ААА. При этом указывается два множества па-
параметров ААА: одно — для стадии аутентификации/авторизации CHAP (или РАР), а вто-
второе — для стадии аутентификации/авторизации пользователя. Для определения этих пара-
параметров используются подходящие пары "атрибут-значение" на сервере ААА
Требования двойной аутентификации
Требования, выдвигаемые к сети и администратору, являются следующими.
• Наличие локального устройства (сервера сетевого доступа или маршрутизатора)
и сервера ААА, доступного локальному устройству. Локальное устройство и
сервер ААА должны быть соответствующим образом сконфигурированы для
связи друг с другом.
• Понимание основ ААА, РРР и CHAP (или РАР) и умение настроить сервер ААА
Можно указать несколько серверов CiscoSecure ACS, используя команды tacacs-
server host повторно.
Кроме того, можно применить несколько команд tacacs-server host для описания до-
дополнительных хостов. Программное обеспечение Cisco IOS Software производит поиск хос-
хостов в том порядке, в каком вы их укажете. Применяйте параметры single-connection,
port, timeout и key только тогда, когда используется сервер AAVTACACS+.
Поскольку некоторые параметры команды tacacs-server host меняют глобальные
установки (заданные командами tacacs-server timeout и tacacs-server key), вы мо-
можете использовать эту команду с целью усиления защиты вашей сети посредством вы-
выбора индивидуальных параметров конфигурации для каждого маршрутизатора.
228 Часть II. Защита удаленного доступа

Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Сервер CiscoSecure ACS доступен для систем как на базе NT, так и UNIX. Сер-
Сервер использует интерфейс Web-броузера, упрощающий администрирование.
• CSNT может использоваться в распределенной системе, поддерживая ретранс-
ретрансляцию запроса аутентификации, нейтрализацию аварийно завершившихся со-
соединений и централизованную регистрацию событий.
• Установка CSNT предполагает настройку соответствующих средств поддержки
Windows NT, проверку сетевых связей между компонентами CSNT, установку
программного обеспечения CSNT в системе Windows NT, начальную настройку
конфигурации с помощью интерфейса Web-броузера и настройку средств ААА
для всех компонентов CSNT.
• CSUNIX включает многопользовательские, Web-ориентированные средства кон-
конфигурации и управления (использующие Java), упрощающие администрирование
сервера и позволяющие управление сервисами защиты из множества точек сети.
• CiscoSecure ACS для обеспечения сетевой защиты использует аутентификацию,
авторизацию и аудит (средства ААА).
• Программное обеспечение CiscoSecure ACS для сетевой защиты и контроля ис-
использует либо TACACS+ (Terminal Access Controller Access Control System —
система управления доступом к контроллеру терминального доступа), либо
RADIUS (Remote Authentication Dial-In User Service — сервис идентификации
удаленных абонентов).
• Процесс настройки TACACS+ включает активизацию TACACS+, определение
списка серверов CiscoSecure ACS, обеспечивающих сервис ААА, и определение
ключей шифрования сообщений между сервером сетевого доступа и серверами
CiscoSecure ACS.
• Процесс настройки RADIUS включает настройку связи между маршрутизатором и
сервером RADIUS, использование команд глобальной конфигурации ААА для оп-
определения списков методов, использующих RADIUS, и применение команд line и
interface для активизации методов аутентификации и авторизации.
• Двойная аутентификация дает возможность реализовать политику защиты, тре-
требующую надежной аутентификации всего внешнего доступа.
• Команды show и debug можно использовать для отображения данных конфигурации,
контроля выполнения операций и исправления ошибок настройки TACACS+ и
RADIUS.
Практическое занятие.
Настройка CSNT
Это практическое занятие призвано продемонстрировать возможности конфигурации
сервера CSNT для предоставления сервисов ААА в сети гипотетической компании XYZ.
Рассмотрите план практического занятия, изучите топологию соответствующей части сети
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 229

и политику защиты, а затем проанализируйте пример конфигурации, чтобы увидеть, как
элементы политики защиты реализуются в терминах команд конфигурации.
План практического занятия
Компания XYZ решила усилить защиту сети с помощью использования программ-
программного обеспечения сервера управления доступом (ACS) на своих серверах NT. Требует-
Требуется установить и настроить CiscoSecure ACS на сервере с целью использования аутен-
аутентификации, авторизации и аудита RADIUS и TACACS+.
Топология
На рис. 6.5 показана топология сети XYZ, а на рис. 6.6 — часть сети компании
XYZ, настройка которой будет рассматриваться в ходе этого практического занятия.
Обратите внимание на то, что здесь в фокусе внимания оказываются элементы, свя-
связанные с сервером сетевого доступа и CSNT.
Удаленное
подразделение
Маршрутизатор
периметра
Web- Обозре- Сервер
сервер ватель сертифи-
Internet Web кации
"Грязная"
ДМЗ
Бастион- Бастион- Сенсор
ный ный CS IDS
хост хост
Брандмауэр PIX
Защищенная
ДМЗ
Бастион- Бастион-
Бастионный ный
хост хост
Клиент Сервер
Удаленный доступ
Система
Windows NT
Сервер NT:
сервер CiscoSecure,
Web, FTP, TFTP, Syslog
Сервер Сервер Директор
SMTP DNS CS IDS
Рис. 6.5. Топология сети XYZ
230
Часть II. Защита удаленного доступа

172.16.2.1/30
192.168.1.0/24 .
Сервер NT:
FTP, HTTP,
служба сертификации
192.168.255.2/24
Внешний .1
Брандмауэр PIX |
Внутренний .3 I
3 i
ц192.168.11.0/241
.1ДМЗ
10.1.1.0/24
Грязная"
ДМЗ
Бастионный
хост:
сервер Web
сервер FTP
Система 10.1.2.2 to
Windows NT Ю.1.2.10/24
Удаленный доступ
сети сбыта
Сервер NT:
CiscoSecure NT,
информационный Internet-
сервер FTP и Web, диспетчер
защиты Cisco, сервер Syslog,
сервер TFTP
Рис. 6.6. Сервер CSNT в корпоративной сети XYZ
Политика сетевой защиты
Политика сетевой защиты, которую собирается реализовать компания XYZ, явля-
является следующей.
• Использование CiscoSecure ACS с протоколом TACACS+ для аутентификации и
авторизации.
• Использование для управления удаленным доступом аутентификации с приме-
применением паролей, имеющих ограничения по времени.
• Использование аутентификации РАР или CHAP для работающих на дому со-
сотрудников.
Пример конфигурации CSNT
Рассмотрим вариант конфигурации сервера сетевого доступа компании XYZ, пока-
показанный в примере 6.16. В этом примере реализуются элементы политики защиты,
связанные с защитой доступа и касающиеся сервера сетевого доступа и CSNT. В при-
примере предлагается одна из возможных конфигураций сервера сетевого доступа, но
можно выбрать и другую конфигурацию, реализующую те же требования политики
защиты. Команды, не имеющие отношения к рассматриваемому вопросу, были из
листинга удалены.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS
231

Пример 6.16. Конфигурация сервера сетевого доступа, реализующая
политику защиты компании XYZ
version 12.0
service timestamps debug datetime msec localtime
service timestamps log uptime
no service password-encryption
!
hostname NASx
!
aaa new-model
aaa authentication login default tacacs+
aaa authentication login is-in tacacs+ local
aaa authentication enable default tacacs+
aaa authentication ppp dial-in tacacs+
enable secret 5 $l$QZUR$r5/03JrSetB2viWswKom./
enable password 7 050F09087948410E
i
username admin password 0 back door
username isgroup password 0 other door
clock timezone PST -8
interface BRIO/0
no ip address
no ip directed-broadcast
shutdown
i
interface Ethernet!)/0
ip address 10.1.1.1 255.255.255.0
no ip direcjted-broadcast
!
interface Ethernet!)/1
no ip address
no ip directed-broadcast
shutdown
!
interface Serial3/0
physical-layer async
ip address 10.1.2.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
ip tcp header-compression passive
async mode dedicated
peer default ip address pool classpool
no fair-queue
no cdp enable
ppp authentication pap ms-chap dial-in
232 Часть II. Защита удаленного доступа

interface Serial3/1
no ip address
no ip directed-broadcast
shutdown
interface Serial3/2
no ip address
no ip directed-broadcast
shutdown
!
interface Serial3/3
no ip address
no ip directed-broadcast
shutdown
!
router rip
network 10.0.0.0
!
ip local pool classpool 10.1.2.2 10.1.2.10
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.3
!
ip access-list extended testblock
deny ip 10.1.2.0 0.0.0.255 172.19.16.0 0.0.0.255
permit ip any any
tacacs server host 10.1.1.4 key ciscosecure
tacacs-server key default
privilege exec level 5 reload
privilege exec level 5 show startup-config
privilege exec level 5 show
privilege exec level 5 clear line
privilege exec level 5 clear
!
line con 0
exec-timeout 0 0
password front door
logging synchronous
login authentication is-in
transport input none
line 65 70
line 97
no exec
password 7 00001A0708161E150A335F
modem InOut
modem autoconfigure type usr_sportster
transport input all
stopbits 1
speed 115200
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 233

flowcontrol hardware
line aux 0
no exec
line vty 0 4
password 7 02030753045F
login authentication is-in
!
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Укажите все "за и против" использования базы данных Windows NT User Data-
Database по сравнению с базой данных CSNT.
2. Что необходимо для того, чтобы настроить CSNT с помощью Windows NT User
Manager (диспетчер пользователей Windows NT) .
3. Что следует настраивать с помощью Web-интерфейса CiscoSecure ACS?
4. Как можно получить информацию аудита ААА в CiscoSecure ACS?
5. С чего нужно начинать при решении проблем конфигурации CiscoSecure ACS?
6. Укажите и опишите возможности CiscoSecure ACS для NT, которые важны в рас-
распределенной системе защиты.
7. Какие три типа серверов идентификационных карт поддерживает CiscoSecure
ACS для NT?
8. С какой целью используется команда tacacs-server key строка-ключ?
9. Назовите три основных шага процесса настройки сервера сетевого доступа для
работы с сервером защиты RADIUS.
10. Назовите стадии аутентификации/авторизации процесса двойной аутентификации?
Ссылки
В этой главе рассмотрен процесс создания конфигурации, реализующей политику
защиты на основе использования CiscoSecure ACS для NT (CSNT). Точный синтаксис
команд, зависящих от версии IOS, можно найти в документации соответствующей
версии Cisco IOS. В частности, просмотрите документы Security Configuration Guide и
Security Command Reference вашей версии Cisco IOS.
Следующие ссылки помогут расширить ваши знания, касающиеся CSNT и
CiscoSecure ACS для UNIX (CSUNIX) и политики защиты вообще.
Политика защиты
Институт SANS (System Administration, Networking, and Security Institute — Инсти-
Институт системного администрирования, сетей и защиты), страница которого размещена
по адресу: www.sans.org, представляет собой кооперативное исследовательское и учеб-
234 Часть II. Защита удаленного доступа

ное заведение для системных администраторов, профессионалов сетевой защиты и се-
сетевых администраторов.
Model Security Policies — Compiled by Michele Crabb-Guel. Коллекция шаблонов и обзоров,
автором которой является Мишель Грабб-Гуэль, призванная помочь при создании поли-
политики защиты. Содержит также информацию из курса SANS "Building an Effective Security
Infrastructure". Размещается по адресу: www.sans.org/newlook/resources/policies/policies.htm.
RFC 1661, "The Point-to-Point Protocol (PPP)". Обеспечивает конкретную инфор-
информацию о РРР. Размещается по адресу: ds.internic.net/rfc/rfcl661.txt.
RFC 1994, "РРР Challenge Handshake Authentication Protocol (CHAP)". Обеспечивает
конкретную информацию о CHAP. Размещается по адресу: ds.internic.net/rfc/rfcl994.txt.
RFC 2196, "The Site Security Procedures Handbook". Предлагает обзорную инфор-
информацию о политиках защиты и процедурах аутентификации. Размещается по адресу:
ds.intemic.net/rfc/rfc2196.txt.
Конфигурация TACACS+/RADIUS
Security Command Reference, Cisco IOS Release 12.0. October, 1998.
Security Configuration Guide, Cisco IOS Release 12.0. October, 1998.
CiscoSecure ACS
CiscoSecure ACS 2.4 for Windows NT User Guide, 1999.
CiscoSecure ACS 2.3 for UNIX User Guide, 1998.
CiscoSecure ACS 2.3 for UNIX Reference Guide, 1998.
Глава 6. Настройка CiscoSecure ACS и TACACS+/RADIUS 235

^^t.S/i'-A^Afe^i-fr'.-'.V .Hit-
8

Часть
III
Защита межсетевых
динении
Глава 7f Настройка маршрутизатора периметра Cisco
Глава 8. Настройка Cisco IOS Firewall

Изучив материал этой главы, вы сможете выполнить.сдедующие задачи. *¦¦:>. '¦'¦.:-'*¦)
• Определить цели
Идентифициро]
связи с Inte
обеспечение;» Cisco 10
Описать
оненты периметр^ети, обестгбчШШщие безопасность-
иты nepHMetpa сети, предлЯаемые программным
: У- .?<ff-H*?.fr-V"
НасТ{!Юить;Маршрутизар»р Cisco гаувыполнение задач маршрутизатора перимет-
периметра,-обеспечив тем самвдй задщЙ^^оступаГк Internet.
Ъ^'
-Н,
-•л
Ж
¦ Ш
Лги »
W
ш
ч <**

Глава
7
Настройка маршрутизатора
периметра Cisco
В этой главе обсуждается создание системы защиты периметра сети на основе ис-
использования возможностей маршрутизатора Cisco. Сначала предлагается краткий об-
обзор компонентов защиты периметра и средств программного обеспечения Cisco IOS,
используемых для защиты периметра сети. Затем соответствующие возможности будут
рассмотрены подробно, чтобы вы научились правильно их использовать. Завершается
глава практическим занятием, демонстрирующим на примере сети компании XYZ
один ий.варйантовлспользования маршрутизатора Cisco для защиты периметра сети.
Системы защиты периметра
Qiscol
и представляет собой сложный комплекс технологических
цы сети от вторжений. Задачей защиты периметра обычно
чщзащита пер\
решений по
явлйется безрПЙсйЬсть сЦЬи корпоративной сети с Internet, но те же методы и техно-
логинеские^)сшения мог|т использоваться и для того, чтобы обеспечить защиту со-
соединений между ч|сгякиЙ>дной и той же сети.
^лСПйдобно каменнЬи стене и глубокому рву вокруг средневековой крепости, которые
*•' былщ предназначен!* для/защиты от вторжении извне, защита периметра сети должна
ифать роль стеныч1округ вашей сети и обеспечивать защиту от вторжения сетевых
нарушителей. Отсутствие или слабость защиты периметра открывает бреши в защите,
которые могарФыть'испрльзованы нарушителями.
Йкшиз^тгериметраШбеспечивается с помощью маршрутизатора периметра, отде-
отделяющего:защищенную часть сети от незащищенной. Например, маршрутизатор пе-
й^мётра может ис1ЙЛьзоваться для создания границы между незащищенной Internet
'"* и Частично защИШюнной "демилитаризованной зоной" (ДМЗ), представленной как
"грязная" ДМгГна рис. 7.1. Маршрутизатор периметра является маршрутизатором
общего назначения, выполняющим роль первой линии защиты. Этот маршрутиза-
маршрутизатор частО^ше<ЙГпоследовательный интерфейс доступа к Internet во внешнем домене
йинтерфейс^внутренней локальной сети во внутреннем. Наше внимание в этой
sy?! главе будетТсфокусировано на использовании маршрутизатора Cisco для защиты пе-
*,^риметра?1ети по схеме, показанной на рис. 7.1.
„-f.fr

Удаленное
подразделение
Web- Обозре- Сервер
сервер ватель сертифи-
Internet Web кации
Маршрутизатор
периметра
Я
Бастион-
Бастионный
JL
JljL
Шлюз
ДМЗ
хост при1сладного
ДМЗ
паьь
уровня
_"Грязная"
ДМЗ
Брандмауэр PIX
Бастион- Бастион-
Бастионный ный
хост хост
_ "Защищенная"
ДМЗ
ИС
Сервер NT:
сервер CiscoSecure,
Web, FTP, TFTR Syslog
Сервер
SMTP
Сервер
DNS
Рис. 7.1. Система защиты периметра сети
Важной задачей системы защиты периметра является разделение сети на внутрен-
внутреннюю и внешнюю области. На рис. 7.1 внутренней областью сети оказывается часть
корпоративной сети, размещенная ниже брандмауэра PIX Firewall, а внешней — сеть
Internet. Внешней может быть и линия связи с деловым партнером или поставщиком.
Устройства защиты периметра используются для реализации политики сетевой защиты
в той ее части, которая касается взаимодействия внутренней и внешней частей сети.
Защиту периметра можно реализовать самыми разными способами, в зависимости
от особенностей политики защиты, от того, что именно должно быть защищено, от
уровня требуемой безопасности, бюджета и множества других факторов. Защита пе-
периметра обеспечивается с помощью самых обычных сетевых устройств. Для защиты
внутренней сети эти устройства могут комбинироваться самыми разными способами.
Например, защиту периметра может обеспечить любой маршрутизатор Cisco. В этой
главе рассматривается вариант построения системы защиты периметра сети, обычно
называемый архитектурой экранированной подсети, когда первая линия защиты созда-
создается с помощью маршрутизатора периметра (экранирующий маршрутизатор), а вторая
240
Часть III. Защита межсетевых соединений

строится на основе брандмауэра. В следующих разделах будут подробно рассмотрены
функции каждого из устройств, используемых в системе защиты периметра.
Маршрутизаторы периметра Cisco
В качестве маршрутизатора периметра чаще всего используют обычный маршрути-
маршрутизатор типа Cisco 1720, обеспечивающий последовательное соединение с Internet и
Ethernet-соединение с ДМЗ. Маршрутизаторы Cisco имеют гибкие средства защиты
периметра, позволяющие защитить связь с Internet. Маршрутизатор Cisco предлагает
следующие возможности.
• Создание первой линии защиты, которая определяет ДМЗ (или "грязную" ДМЗ,
как показано на рис. 7.1), обеспечивает защиту бастионных узлов ДМЗ и брандмау-
брандмауэра PIX Firewall от направленных атак и выполняет роль системы оповещения при
выявлении попыток взломать маршрутизатор периметра или бастионный хост.
• Гибкий набор настраиваемых возможностей, которые можно адаптировать к
постоянно возникающим новым угрозам защиты и новым Internet-
приложениям.
• Существенную экономию в сравнении с использованием специализированных
брандмауэров.
• Использование встроенных возможностей программного обеспечения Cisco IOS,
включая специальные возможности брандмауэра и средства зашиты периметра.
Чтобы ограничить доступ к службам и приложениям TCP/IP, маршрутизатор пе-
периметра использует в основном правила фильтрации пакетов. Для реализации таких
правил, вытекающих из требований политики сетевой защиты, применяются списки
доступа. Маршрутизатор периметра создает "грязную" ДМЗ или экранированную
подсеть. С помощью брандмауэра PIX Firewall можно создать "защищенную" ДМЗ,
разместив бастионные узлы на третьем интерфейсе брандмауэра (рис. 7.1).
Возможности маршрутизаторов Cisco
Инженеры Cisco предусмотрели ряд возможностей защиты периметра в рамках яд-
ядра программного обеспечения Cisco IOS, что позволяет клиентам Cisco использовать
маршрутизаторы в качестве первичного средства контроля сетевого доступа к внут-
внутренним сетям. Возможности защиты включают аутентификацию пользователей, авто-
авторизацию доступа, ограничение связи с узлами, имеющими неизвестные или нежела-
нежелательные адреса, маскировку внутренних IP-адресов для внешних наблюдателей, кон-
контроль потока данных, проходящих через маршрутизатор, а также применение
специальных средств администрирования, позволяющих реализовать требования по-
политики защиты в системе периметра сети.
В табл. 7.1 приводится список этих возможностей защиты вместе с описаниями и
списками соответствующих угроз, против которых они должны обеспечить защиту.
Более подробная информация о сетевых угрозах представлена в главе 1.
Возможности Cisco IOS Firewall
Cisco предлагает недорогое решение в виде брандмауэра на основе возможностей
программного комплекса Cisco IOS Firewall (называемого также CiscoSecure Integrated
Software), доступного в рамках программного обеспечения Cisco IOS Software в мар-
Глава 7. Настройка маршрутизатора периметра Cisco 241

шрутизаторах Cisco. Cisco IOS Firewall добавляет современные возможности к основ-
основным возможностям защиты маршрутизаторов Cisco, а также предлагает несколько
усовершенствований уже существующих сервисов защиты Cisco IOS. Наиболее важ-
важной из этих возможностей является система СВАС (Context-Based Access Control —
управление доступом на основе контекста), которая позволяет, в частности, запретить
выполнение аплетов Java, обнаружить и предотвратить проведение атак блокирования
сервиса, а также использовать контрольные журналы.
ечивающие .
Возможность
Угроза
Описание
Контроль сервиса TCP/IP
Разведка, блокирование сервиса,
несанкционированный доступ
Контроль объявления маршрута Подтасовка данных
Фильтрация пакетов
Ограничение частоты обращений
Перехват TCP
Шифрование на сетевом уровне
Трансляция сетевых адресов
Трансляция адресов портов
Списки доступа с защитой типа
замка (динамические)
Возможности брандмауэра
Протоколирование событий
Подтасовка данных, несанкцио-
несанкционированный доступ, блокирова-
блокирование сервиса
Блокирование сервиса
Блокирование сервиса
Подтасовка данных, разведка
Подтасовка данных
Подтасовка данных
Несанкционированный доступ
Несанкционированный доступ
Подтасовка данных
Защита с помощью команд общего
назначения и команд, зависящих от
интерфейса
Использование статических маршру-
маршрутов, контроль объявления маршру-
маршрутов и аутентификация маршрутиза-
маршрутизаторов взаимодействующих сторон
для защиты от атак, связанных с из-
изменением маршрутизации
Использование стандартных и рас-
расширенных списков доступа IP для
фильтрации входящего и исходяще-
исходящего трафиков
Контроль лавинных атак SYN и ICMP
Контроль лавинных атак SYN
Использование протоколов СЕТ и
IPSec, обеспечивающее целостность
данных и конфиденциальность при
взаимодействии устройств периметра
Маскировка внутренних схем адре-
адресации и упрощение переадресации
Маскировка внутренних схем адре-
адресации и расширение возможностей
использования ограниченного числа
зарегистрированных IP-адресов
Дополнительная защита доступа
пользователей
Широкий набор дополнительных
возможностей брандмауэра в мар-
маршрутизаторах Cisco
Контроль потока данных с целью выяв-
выявления и анализа различных типов атак
Брандмауэр Cisco IOS Firewall более подробно будет рассматриваться в главе 8.
Основные характеристики этого брандмауэра приведены в табл. 7.2.
242
Часть III. Защита межсетевых соединений

а 7.2. Основньч
> IQS Firewall
Возможность
Угроза
Описание
СВАС
Блокирование аплетов Java
Выявление и предотвра-
предотвращение атак блокирования
сервиса
Контрольные журналы
Предупреждение об опас-
опасности в реальном масшта-
масштабе времени
Система обнаружения
вторжений (IDS)
Подтасовка данных,
удаленный доступ
Подтасовка данных
Блокирование сервиса
Подтасовка данных
Подтасовка данных
Все
Обеспечивает защиту и контроль доступа к приложе-
приложениям для всего трафика IP, пересекающего периметр
(например, трафика между частной сетью предприятия
и Internet). Правила инспекции СВАС могут предпола-
предполагать генерирование сигналов опасности и контрольных
записей журнала прикладным протоколом
Обеспечивает защиту от вредоносных аплетов Java
Обеспечивает защиту ресурсов маршрутизатора от
атак полуоткрытых соединений TCP и UDP. Предпо-
Предполагает проверку заголовков пакетов и запрет обра-
обработки подозрительных пакетов на основе указанных в
конфигурации пороговых величин. Несовместима с
возможностью перехвата TCP
Обеспечивает возможность детального описания
соединений. Включает штамп времени, адреса хос-
хостов источника и получателя, номера портов и общее
количество переданных байтов. Помогает обнаружить
скрытую активность пользователей
Генерирование сообщений о выявленных атаках блоки-
блокирования сервиса и других подозрительных состояниях
Действует как сенсор вторжений. Отслеживает поток
проходящих через маршрутизатор пакетов и сеансов
связи, проверяя их на наличие сигнатур IDS. Подоз-
Подозрительная активность должна выявляться как можно
раньше, чтобы не допустить взлом защиты сети; со-
соответствующие события регистрируются средствами
системного журнала Cisco IOS. Работает совместно с
CiscoSecure 106 Director
Позволяет реализовать политику защиты с учетом раз-
различия прав пользователей. Выполняет аутентификацию
пользователей и авторизацию доступа посредством
HTTP-связи с внешней базой данных защиты
Мастер изменения конфигурации для
Windows 95/Windows NT, предлагающий пошаговые
инструкции с последовательным анализом структуры
сети, параметров адресации и возможностей бранд-
брандмауэра
Демилитаризованные зоны (ДМЗ)
ДМЗ, или изолированная локальная сеть, является буфером между корпоративной
сетью и внешним миром. ДМЗ имеет уникальный сетевой номер, который отличается
от номера корпоративной сети. Вообще говоря, сеть ДМЗ — это единственная часть
сети корпорации, видимая извне.
Опосредованная (proxy) ay- Несанкционированный
тентификация доступ
Поддержка ConfigMaker
Глава 7. Настройка маршрутизатора периметра Cisco
243

ДМЗ создается устройствами защиты периметра, формирующими систему бранд-
брандмауэра, которая состоит из маршрутизатора периметра, бастионного хоста и самого
брандмауэра.
На рис. 7.1 маршрутизатор периметра создает "грязную" ДМЗ, которая представ-
представляет собой частично защищенное окружение бастионного хоста, обеспечивающего об-
обслуживание внешних и внутренних пользователей, например, корпоративного Web-
узла или шлюза прикладного уровня, предоставляющего сервис TCP/IP типа
ретрансляции сообщений электронной почты.
Бастионный хост
Бастионный хост является защищенным сервером (обычно на базе UNIX, Windows
NT или Linux), который размещается в ДМЗ. Он обеспечивает внешним пользовате-
пользователям следующие важные услуги.
• Сервис анонимного сервера FTP.
• Сервис сервера World Wide Web.
• Сервис DNS (Domain Name Service — служба имен доменов).
• Сервис SMTP для входящих сообщений электронной почты, обеспечивающий
доставку электронной почты внутренним пользователям.
• Сервис посредника (proxy) при доступе в Internet для внутренних хостов.
Бастионный хост должен быть защищен исключительно надежно: он уязвим, по-
поскольку открыт для Internet и обычно является главной точкой контакта с корпора-
корпоративной сетью из Internet. Бастионный хост может также быть доступен для внутрен-
внутренних пользователей.
Иногда бастионный хост обеспечивает сервис посредника, используя для этого
специальное приложение или серверные программы. Сервис посредника предполагает
прием запросов пользователей на предоставление Internet-услуг (типа отправки элек-
электронной почты, FTP или Telnet) и последующую передачу запросов предоставляющим
эти услуги сервисам на основе используемой политики сетевой защиты.
Если бастионный хост обеспечивает сервис посредника, он должен быть осведомлен
о приложениях, в отношении которых осуществляется такое посредничество. Поэтому
бастионный хост выполняет мониторинг портов TCP и UDP в целях обнаружения сер-
сервисов, для которых требуется посредник: это Telnet, FTP (File Transfer Protocol — прото-
протокол передачи файлов), HTTP (Hypertext Transfer Protocol — протокол передачи гипертек-
гипертекстовых файлов), gopher, WAIS (Wide Area Information Server — глобальный информаци-
информационный сервер), NTP (Network Time Protocol — синхронизирующий сетевой протокол),
NNTP (Network News Transfer Protocol — сетевой протокол передачи новостей) и SMTP
(Simple Mail Transfer Protocol — простой протокол электронной почты).
Бастионный хост также может быть сконфигурирован как двухканальный хост, т.е.
имеющий два сетевых интерфейса: один — для внутренней сети, а другой — для
внешней. В такой конфигурации бастионный хост может обеспечивать услуги бранд-
брандмауэра. Необходимо осуществлять тщательный мониторинг состояния бастионного
хоста, чтобы попытки его скомпрометировать вовремя пресекались, так как в конфи-
конфигурации двухканального хоста сеть оказывается исключительно уязвимой. В сравне-
сравнении с двухканальным хостом, существенно более надежную защиту обеспечивает
брандмауэр PIX Firewall, поэтому использование последнего является предпочтитель-
предпочтительным при построении системы брандмауэра.
244 Часть III. Защита межсетевых соединений

Брандмауэр
Брандмауэр — это специализированное сетевое устройство, предназначенное для защи-
защиты внутренней сети от внешних воздействий. Брандмауэр имеет следующие особенности.
• Трафик имеет узкое место — весь поток данных изнутри сети наружу и снару-
снаружи во внутреннюю часть сети должен пройти через брандмауэр.
• Пропускается только трафик, прошедший авторизацию в соответствии с ло-
локальной политикой защиты.
• Брандмауэр настраивается так, чтобы его защиту нельзя было преодолеть.
• Брандмауэр делает внутреннюю сеть невидимой снаружи.
Брандмауэры могут быть реализованы несколькими способами.
• Пакетный фильтр. Брандмауэр этого типа проверяет каждый пакет на наличие
заданных пользователем параметров (адресов IP или портов TCP и UDP), но не
осуществляет контроль сеансов. На выполнение функций пакетного фильтра в
рамках возможностей Cisco IOS Firewall могут быть настроены маршрутизаторы
общего назначения, например маршрутизаторы Cisco 7500.
• Шлюз прикладного уровня. Брандмауэр этого типа проверяет данные приклад-
прикладного уровня во всех пакетах, проходящих через него до установки соединения.
Через брандмауэр позволяется движение только разрешенных данных. Напри-
Например, шлюз FTP прикладного уровня проверяет FTP-пакеты на прикладном
уровне и открывает только разрешенный Г-ТР-доступ.
• Шлюз канального уровня. Брандмауэр этого типа проверяет легальность сеансов
TCP и UDP перед открытием соединения (канала), проходящего через бранд-
брандмауэр. Такой шлюз рассматривает данные сеансов TCP и UDP, чтобы гаранти-
гарантировать прохождение через брандмауэр только разрешенных пакетов. В начале
сеанса брандмауэр создает таблицу допустимых соединений данного сеанса и
разрешает прохождение данных только при условии соответствия параметров
сеанса некоторой записи этой таблицы. По завершении сеанса соответствую-
соответствующая запись таблицы уничтожается, а канал закрывается.
• Прокси-сервер (сервер-посредник). Брандмауэр такого типа защищает внутрен-
внутреннюю (защищенную) сеть посредством замены IP-адреса хоста внутренней сети
собственным IP-адресом для всего потока проходящих через брандмауэр дан-
данных. Большинство предлагаемых сегодня шлюзов прикладного и канального
уровней имеют встроенные возможности прокси-сервера, чтобы обеспечить до-
дополнительную защиту. Производители брандмауэров часто называют такие
продукты прокси-серверами прикладного уровня или прокси-серверами канального
уровня. Брандмауэр PIX Firewall тоже предлагает возможность опосредованной
установки соединений, гарантирующую защиту и высокую производительность.
Рынок брандмауэров развивается очень быстро. Многие производители и ассоциа-
ассоциации защиты разработали свои брандмауэры. В контексте нашей книги мы рассмотрим
только следующие два.
• Cisco IOS Firewall. Мощный набор возможностей брандмауэра, доступный для
маршрутизаторов Cisco.
• Cisco PIX Firewall. Специализированное оборудование и программное обеспе-
обеспечение брандмауэра с защищенной операционной системой. Этот брандмауэр
будет рассмотрен в последующих главах.
Глава 7. Настройка маршрутизатора периметра Cisco 245

Управление сервисами TCP/IP
Программное обеспечение Cisco IOS Software включает специальные команды
управления сервисами TCP/IP маршрутизаторов, что дает возможность уменьшить
риск подслушивания, проведения атак блокирования сервиса и атак несанкциониро-
несанкционированного доступа (табл. 7.3). Эти команды следует вводить только в том случае, если
соответствующий сервис действительно необходим. По умолчанию активизируется
довольно большой набор сервисов TCP/IP, поэтому их придется отключать вручную с
помощью команд, указанных в табл. 7.3. Эти команды используются для управления
сервисами TCP/IP в режиме глобальной конфигурации. Здесь приведены команды,
которые предлагаются в конфигурации маршрутизатора по умолчанию.
Таблица 7.3. Команд!
маршр
Команда Описание
no service tcp-small-servers
по service udp-small-servers
по service finger
no ip domain-looknp
no ip source-ronte
no ip tcp selective-ack
no ip bootp server
no шор enabled
no cdp run
no ip rsh-enable
no ip remd rep-enable
no ip identd
Запрещает доступ к ряду сервисов TCP, позволяющих хостам сети за-
запрашивать Echo, Discard, Chargen и Daytime портов.
По умолчанию серверы TCP в части сервисов Echo, Discard, Chargen и
Daytime активизированы. Если их отключить, то в ответ на соответст-
соответствующий запрос порта программное обеспечение Cisco IOS пошлет от-
отправителю TCP-пакет RESET и отвергнет поступивший пакет
Запрещает доступ к ряду сервисов UDP, позволяющих хостам сети запраши-
запрашивать Echo, Discard, Chargen и Daytime портов.
По умолчанию серверы UDP в части сервисов Echo, Discard, Chargen и
Daytime активизированы. Если их отключить, то в ответ на соответствующий
запрос порта программное обеспечение Cisco IOS пошлет отправителю па-
пакет "ICMP port unreachable" (порт недоступен) и отвергнет поступивший пакет
Запрещает запросы по протоколу finger (определенному в RFC 742)
путем блокирования удаленных запросов пользователей
Отключает трансляцию имен DNS в IP-адреса в маршрутизаторе периметра
Отключает IP-маршрутизацию от источника
Отключает селективное подтверждение TCP (описано в RFC 2018).
Снижает производительность системы, но повышает надежность защи-
защиты от атак, связанных с блокированием сервиса
Отключает сервис BOOTP (Bootstrap Protocol - протокол начальной са-
самозагрузки) хоста
Отключает действие протокола MOP (Maintenance Operation Protocol —
протокол операций сопровождения); может также применяться в отно-
отношении конкретного интерфейса
Отключает действие протокола Cisco Discovery Protocol
Устанавливает конфигурацию маршрутизатора, при которой удаленным
пользователям запрещается выполнять команды rsh на нем
Устанавливает конфигурацию маршрутизатора, при которой удаленным
пользователям запрещается копировать файлы в маршрутизатор и с
него, используя команды гер
Отключает поддержку идентификации, что блокирует возврат информа-
информации, идентифицирующей ТСР-порт
246
Часть III. Защита межсетевых соединений

Команды, приведенные в табл. 7.4, используются для управления сервисами
TCP/IP в режиме конфигурации интерфейса.
Команда
Описание
по ip proxy-arp
по ip redirects
по ip tcp path-mtu-discovery
no ip unreachable
no ip route-cache
no ip mroute-cache
no cdp enable
no ip directed-broadcast
Отключает прокси-сервис ARP (Address Resolution Protocol — протокол
разрешения адресов) в рамках указанного интерфейса
Отключает отправку сообщений перенаправления, когда средства Cisco
I0S Software пересылают пакет в рамках интерфейса, по которому этот
пакет получен. Ограничивает информацию, посылаемую маршрутизато-
маршрутизатором в случае сканирования порта
Отключает возможность Path MTU Discovery для всех новых соединений
TCP от маршрутизатора по данному интерфейсу. Отсутствие такого за-
запрета увеличивает угрозу атак, связанных с блокированием сервиса
Отключает генерирование сообщений ICMP Unreachable для данного
интерфейса
Отключает кэширование данных автономной коммутации и/или быстрой
коммутации для маршрутизации IP
(Используется по умолчанию.) Отключает групповую быструю коммута-
коммутацию IP, посылая пакеты на уровне процесса. Требуется для записи со-
сообщений отладки и обработки списков доступа
Отключает CDP (Cisco Discovery Protocol) для данного интерфейса
(Используется по умолчанию.) Отключает управляемую групповую рас-
рассылку IP, что обеспечивает невозможность применения маршрутизатора
в качестве широковещательного усилителя в распределенных атаках
блокирования сервиса
В примере 7.1 показан фрагмент вывода команды show running-config, иллюстри-
иллюстрирующий запрет доступа SNMP извне. Список доступа применяется к входной части
интерфейса, связанного с незащищенной частью сети.
Пример 7.1. Управление сервисом SNMP TCP/IP путем запре
Ь SNMP извне ." .
interface serial О
access-group 101 in
access-list 101 deny udp any any eq snmp
Защита от несанкционированных
изменений маршрутов
Маршрутизаторы периметра особенно уязвимы в отношении перехвата сообщений
маршрутизации, раскрывающих структуру ДМЗ и внутренней сети. Можно назначить
статические маршруты, по которым должны направляться входящий и исходящий
Глава 7. Настройка маршрутизатора периметра Cisco
247

трафики маршрутизатора периметра, а также указать следующий транзитный маршру-
маршрутизатор, которым обычно является маршрутизатор в сети поставщика услуг Internet.
Если для связи с другими маршрутизаторами периметра необходимо использовать
протокол маршрутизации (например, для связи с сетью внешнего партнера или с уз-
узлами удаленного подразделения компании), можно управлять возможностями объяв-
объявления маршрута с помощью команд distribute-list и стандартных списков доступа,
а также посредством аутентификации связывающихся маршрутизаторов. Это обеспе-
обеспечит защиту трафика маршрутизации и исключит возможность фальсификации пара-
параметров маршрутизации. В этом разделе мы поговорим о том, как обеспечить защиту
функций маршрутизации для маршрутизатора периметра.
Связь между маршрутизаторами можно защитить следующими способами.
Статические маршруты
В маршрутизаторе периметра статические маршруты обычно применяются для того,
чтобы направить весь связанный с Internet трафик по адресу маршрутизатора поставщика
услуг Internet. (Статические маршруты, используемые для направления всего трафика по
определенному адресу, называют также маршрутами по умолчанию.) Ответственность за
дальнейшую пересылку пакетов соответствующим адресатам перекладывается на маршру-
маршрутизатор поставщика услуг Internet, поэтому у маршрутизатора периметра не возникает не-
необходимости динамического обмена информацией о маршрутизации, в условиях которого
противник мог бы получить информацию о топологии внутренней сети. Статические
маршруты имеют свои недостатки, например невозможно отследить, когда разрывается со-
соответствующий канал связи или изменяется топология сети.
Статические маршруты назначаются с помощью команды ip route в режиме глобаль-
глобальной конфигурации. Адресом, куда маршрутизатор будет отсылать пакеты, может быть IP-
адрес транзитного маршрутизатора поставщика услуг Internet (предпочтительный вариант),
сетевой адрес маршрута в таблице маршрутизации, с помощью которой обрабатываются
пакеты (это удобно при наличии нескольких вариантов пути к поставщику услуг Internet),
или конкретный IP-адрес следующего маршрутизатора (но этот вариант использовать не
рекомендуется, поскольку IP-адреса должны выбираться на уровне интерфейса канала свя-
связи). В примере 7.2 показан статический маршрут, по которому все пакеты переправляются
маршрутизатору поставщика услуг Internet с адресом 172.16.100.2.
1ример|7.2. Передала 1сехпакето§ маршрутизатору поставщика услуг
ip route 0.0.0.0 0.0.0.0 172.16.100.2
Контроль объявления маршрутов
Протокол маршрутизации можно использовать для связи между маршрутизатором пе-
периметра и маршрутизатором поставщика услуг Internet или другим маршрутизатором пе-
периметра в удаленном подразделении компании. Фильтры маршрутов можно установить
для любого интерфейса, чтобы не допустить несанкционированное распространение ин-
информации о маршрутах. Некоторые протоколы маршрутизации (например, Enhanced
IGRP — усовершенствованный протокол IGRP) позволяют применять фильтр, запре-
запрещающий объявление некоторых частей маршрутов в сети. Протоколы маршрутизации по-
248 Часть III. Защита межсетевых соединений

звояяют фильтровать и входящие маршруты, чтобы маршрутизатор признавал только те
маршруты, которые исходят от надежных сетей.
Если маршрутизаторами периметра являются маршрутизаторы Cisco, то для связи
между ними лучше всего использовать протокол Enhanced IGRP, поскольку он досту-
доступен только на маршрутизаторах Cisco. Это снижает риск случайного или преднаме-
преднамеренного изменения параметров маршрутизации хостами сети.
Более подробная информация относительно контроля объявления маршрутов
представлена в главе 3.
Аутентификация маршрутов
Если для связи между маршрутизаторами периметра используется протокол мар-
маршрутизации, можно использовать аутентификацию маршрутов. Механизмы аутенти-
аутентификации зависят от протокола и, вообще говоря, являются слабыми. Тем не менее
отказываться от преимуществ готового решения нерационально. Аутентификация мо-
может повысить надежность сети в результате предотвращения несанкционированного
вмешательства других маршрутизаторов и хостов в процессе маршрутизации, незави-
независимо от того, случайным или преднамеренным является такое вмешательство. За бо-
более подробной информацией относительно аутентификации взаимодействующих
маршрутизаторов обратитесь к главе 3.
Управление доступом
Маршрутизатор периметра обычно размешается на границе сети, между внутренней се-
сетью организации и внешней, например Internet. Маршрутизатор может быть мощным
средством управления доступом пользователей к сетям и данным при межсетевом взаимо-
взаимодействии. Основным средством управления доступом являются списки доступа. Про-
Программное обеспечение Cisco IOS Software поддерживает использование стандартных и
расширенных списков доступа. За подробностями относительно структуры списков досту-
доступа обратитесь к приложению В, "Настройка стандартных и расширенных списков досту-
доступа". Списки доступа поддерживают фильтрацию входящих и исходящих пакетов.
Управление доступом означает фильтрацию входного и выходного трафиков, контроль
административного доступа к маршрутизатору периметра, использование защиты типа
замка, а также опосредованную аутентификацию пользователей (прокси-аутентификация).
Входной пакетный фильтр
Пакетный фильтр со списками доступа можно использовать для контроля входного
трафика маршрутизатора периметра. Типичные правила политики контроля входного
потока данных, пересекающих периметр сети, могут включать следующее.
• Фильтрация пакетов, в которых в качестве источника указаны внутренние адре-
адреса, с целью защиты от атак фальсификации IP-адресов.
• Фильтрация пакетов, в которых в качестве источника указаны зарезервирован-
зарезервированные RFC-адреса, с целью защиты от атак фальсификации IP-адресов.
• Фильтрация поступающих пакетов bootp, TFTP, SNMP и traceroute с целью за-
защиты от атак удаленного доступа и разведки.
Глава 7. Настройка маршрутизатора периметра Cisco 249

• Разрешение TCP-соединений, устанавливаемых из внутренних сетей, с целью
защиты от атак фальсификации IP-адресов.
• Запрет прямого сканирования (ping) интерфейса с внешней стороны брандмау-
брандмауэра с целью защиты от атак разведки.
• Разрешение входящих соединений только с серверами ДМЗ с целью защиты от
атак удаленного доступа.
В табл. 7.5 приведены типичные IP-адреса, которые вы захотите отфильтровать во
входном потоке пакетов.
... „-адреса, подлежащие фильтрации во входном потоке
IP-адрес и биты маски Использование IP-адреса
0.0.0.0/8 Историческое широковещание
10.0.0.0/8 Частная сеть RFC 1918
127.0.0.0/8 Локальная обратная связь
169.254.0.0/16 Связь локальных сетей
172.16.0.0/12 Частная сеть RFC 1918
192.0.2.0/24 TEST-NET
192.168.0.0/16 Частная сеть RFC 1918
224.0.0.0/4 Класс D (групповой рассылки)
240.0.0.0/5 Класс Е (резервируемый)
248.0.0.0/5 Не распределен
255.255.255.255/32 Широковещание
В примере 7.3 представлена фильтрация входного потока с адресами источника,
определяемыми документом RFC 1918.
interface serial 0
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
Выходной пакетный фильтр
Пакетный фильтр со списками доступа можно использовать для контроля выходного
трафика маршрутизатора периметра. Обычно требуется, чтобы маршрутизаторы периметра
и брандмауэры пересылали только IP-пакеты с допустимыми IP-адресами источника, что-
чтобы не допустить использования сетевых устройств в распределенных атаках блокирования
сервиса, направленных против других сетей. Допустимыми IP-адресами источника в дан-
данном случае являются сетевые IP-адреса, присвоенные узлам данной сети.
250 Часть III. Защита межсетевых соединений

Типичная политика защиты для трафика, исходящего от периметра сети, может
включать следующие правила.
• Пропускать только те пакеты, которые направляются в Internet и в качестве ад-
адреса источника имеют соответствующие адреса (или транслированные адреса)
узлов внутренней сети.
• Пропускать только те пакеты, которые направляются в Internet и в качестве ад-
адреса источника имеют адрес бастионного узла.
• Фильтровать все IP-адреса, не разрешенные используемой политикой защиты.
Защита типа замка
Хорошим решением защиты является защита типа замка, которую можно реализовать с
помощью списков расширенного доступа. Стандартные, расширенные и статические спи-
списки доступа предполагают "жесткую" связь с соответствующим интерфейсом. Если список
доступа связывается с интерфейсом статически, он действует в соответствии со своей кон-
конфигурацией независимо от того, какие узлы будут связаны с данным интерфейсом сети.
Такой список доступа не учитывает существования узлов, которым может потребоваться
информация за брандмауэром, и не может выполнять аутентификацию узлов.
Усовершенствованным вариантом защиты, реализованной в Cisco IOS Release 11.1
и программном обеспечении более поздних версий, является защита типа замка. Для
нее используются динамические списки доступа, допускающие предоставление досту-
доступа заданных источников к заданным узлам с применением аутентификации пользова-
пользователей. Это позволяет реализовать динамический доступ пользователей через бранд-
брандмауэр без нарушения ограничений защиты.
Защита типа замка активизируется после аутентификации пользователя в маршрутиза-
маршрутизаторе или сервере сетевой защиты типа сервера TACACS+, что позволяет контролировать
изменения списка доступа входного интерфейса и предоставление соответствующих при-
привилегий пользователю. Принцип действия защиты типа замка показан на рис. 7.2.
1. Telnet
Авторизованный
пользователь
2. Запрос
3. Разрешение
временного доступа
>
4. Данные
Подразделение
корпоративной
сети
Рис. 7.2. Действие защиты типа замка
В типичной среде при защите типа замка используется список доступа, фильт-
фильтрующий весь трафик до тех пор, пока удаленный пользователь не будет аутентифици-
рован с помощью соответствующего механизма защиты. Успешное завершение аутен-
аутентификации позволяет удаленному хосту использовать сеанс Telnet, чтобы открыть
Глава 7. Настройка маршрутизатора периметра Cisco
251

брандмауэр корпоративной сети. До того, как это произойдет, брандмауэр отвергает
весь трафик, кроме трафика Telnet.
В этом случае не существует списков доступа ни для каких портов, кроме списка
доступа Telnet. До тех пор, пока удаленный пользователь не аутентифицирован, дос-
доступ к порту запрещен. После аутентификации применяется соответствующий список
доступа (только для этого порта), разрешающий аутентифицированный доступ.
Настройка защиты типа замка
Чтобы настроить параметры защиты типа замка, выполните следующие действия в
режиме глобальной конфигурации.
1. С помощью команд access-list номер-списка-доступа [dynamic дииамическое-иш
[timeout минуты]] {deny | permit} telnet источник групповой-символ-источника ад-
адресат групповой-символ-адресата [precedence приоритет] [tos тип-сервиса]
[established] [log] настройте динамический список доступа, который будет вы-
выполнять роль шаблона для временных строк доступа. Параметр timeout минуты зада-
задает значение предела времени существования для динамического списка доступа.
2. С помощью команды interface тип номер войдите в режим конфигурации интер-
интерфейса, к которому вы собираетесь применить список доступа.
3. Примените список доступа к выбранному интерфейсу с помощью команды ip
access-group номер-списка-доступа в режиме конфигурации интерфейса.
4. Определите один или несколько виртуальных терминальных портов (vty), кото-
которым будет назначена защита типа замка, используя для этого команду line vty
номер-линии [номер-поспедней-пинии] в режиме глобальной конфигурации. Если
указано несколько портов vty, они должны быть сконфигурированы одинаково,
поскольку программное обеспечение выполняет поиск доступных портов vty цик-
циклически. Если вы не хотите назначать защиту типа замка всем портам vty, можно
указать группу портов vty для защиты.
5. Поручите аутентификацию пользователя внешнему серверу аутентификации или
внутренней базе данных с помощью команд login tacacs, username имя password
секретное-значеиие, password пароль или login local.
6. Активизируйте создание временных строк списка доступа с помощью команды
autocommand access-enable [host] [timeout минуты]. Параметр timeout минуты задает
предел времени ожидания. Если аргумент host не указан, создавать временные записи
списка доступа разрешается всем хостам сети. Динамический список доступа содер-
содержит сетевую маску, позволяющую установку нового сетевого соединения.
В условиях защиты типа замка внешнему событию (сеансу Telnet) позволяется от-
открыть "проход" в маршрутизаторе периметра. Пока этот "проход" открыт, маршрути-
маршрутизатор уязвим в отношении атак фальсификации адреса источника.
Защита от блокирования сервиса
Маршрутизаторы периметра могут обеспечить первую линию защиты против атак
блокирования сервиса. С помощью маршрутизатора периметра можно свести к мини-
минимуму вероятность использования вашей сети в распределенных атаках блокирования
252 Часть III. Защита межсетевых соединений

сервиса против других сетей. Используя средства TCP-перехвата, можно также огра-
ограничить влияние синхронных атак (лавинных атак SYN).
Предотвращение распределенных атак
блокирования сервиса
Чтобы не допустить возможности применения сетевых устройств в распределенных
атаках блокирования сервиса, придерживайтесь следующих рекомендаций.
• Убедитесь, что вы приняли все возможные меры для предотвращения несанк-
несанкционированного доступа к бастионному узлу, чтобы не допустить размещения в
нем программного обеспечения, используемого в распределенных атаках бло-
блокирования сервиса. Запретите все сервисы IP, в которых нет необходимости.
Примените к интерфейсам команду no ip directed-broadcast, чтобы исклю-
исключить использование маршрутизатора периметра в качестве широковещательного
усилителя в ходе распределенных атак.
• С помощью списков доступа фильтруйте весь входящий трафик с частными
(см. RFC 1918) и зарезервированными адресами (см. RFC 2827. "Network In-
Ingress Filtering").
• Фильтруйте весь исходящий трафик, чтобы не допустить фальсификации IP-
адресов источника. За пределы периметра должны пропускаться только пакеты
с адресами источника из ДМЗ и другими разрешенными адресами. Для фильт-
фильтрации исходящего трафика можно применить списки доступа и команду ip
verify unicast reverse-path интерфейса.
• Используйте значение CAR (Committed Access Rate — согласованная скорость дос-
доступа), чтобы ограничить поток пакетов ICMP. Ограничение этого значения или
подходящая политика могут применяться к входному и выходному интерфейсам
или в отдельности, или одновременно. Такое ограничение можно реализовать толь-
только с помощью CAR, поэтому соответствующие сетевые устройства должны работать
под управлением IOS версии 11.1 ее или 12.0+. Можно, например, использовать со-
соответствующие ограничения или политику для трафика входного интерфейса мар-
маршрутизатора периметра. Сначала с помощью списка доступа пакет классифицирует-
классифицируется как относящийся к трафику ICMP. Затем, используя CAR, классифицированный
трафик можно избирательно ограничить до определенного пропускного уровня. Ес-
Если значение CAR превышено, включается действие политики и соответствующие
пакеты отвергаются. Для настройки параметров CAR используется соответствующая
команда конфигурации интерфейса. При этом должен быть активизирован режим
CEF (Cisco Express Forwarding — скоростная передача Cisco).
В следующем примере на интерфейсе serial 0 маршрутизатора периметра список
доступа 105 задает использование CAR для ICMP-трафика ECHOREPLY. Средняя
скорость передачи данных равна 1544 Кбит/с, пакетная скорость— 512 Кбит/с, а
пиковая — 786 Кбит/с. Если эти пределы превышены, пакеты отвергаются,
interface serial О
rate-limit output access-group 105 1540000 512000 786000
conform-action
transmit exceed-action drop
access-list 105 permit iemp any any echo-reply
Глава 7. Настройка маршрутизатора периметра Cisco 253

• Установите ограничения скорости для пакетов SYN. Измерьте нормальный трафик
SYN с помощью команды show interfaces rate-limit, указывающей согласован-
согласованную и избыточную скорость интерфейса, чтобы выяснить соответствующие пара-
параметры нормального трафика. Для ограничений скорости трафика SYN следует вы-
выбрать наименьшие из приемлемых значений. Например, конфигурация для трафика
Web через маршрутизатор периметра может быть следующей.
interface serial О
rate-limit output access-group 150 1540000 512008 786000
conform-action
transmit exceed-action drop
access-list 150 permit tcp any host eq www
access-list 150 permit tcp any host eq www established
• Активизируйте регистрацию событий в устройствах периметра (это касается,
прежде всего, маршрутизатора), чтобы вовремя обнаружить признаки проведе-
проведения распределенных атак, связанных с блокированием сервиса.
Средства ТСР-перехвата для защиты
от синхронных атак
С использованием средств ТСР-перехвата программного обеспечения Cisco IOS
Software можно защитить TCP-серверы от лавинных атак SYN (одна из разновидно-
разновидностей атак, связанных с блокированием сервиса). Эти средства можно разместить в
маршрутизаторе периметра для защиты ДМЗ и других узлов сети. Средства ТСР-
перехвата обнаруживают запросы ТСР-соединений ТСР-клиентов к TCP-серверам и,
если необходимо, перехватывают, подтверждают или запрещают такие запросы. Тем
самым средства ТСР-перехвата могут предотвратить развитие лавинной атаки SYN.
Система ТСР-перехвата действует в двух режимах: в режиме перехвата и режиме мо-
мониторинга. На рис. 7.3 показана схема функционирования ТСР-перехвата.
Маршрутизатор Бастионный
периметра хост
со средствами
ТСР-перехвата
1. Перехват и проверка 2. Установка связи 3. Подтверждение проверенных
запроса клиента с хостом связей и обмен данными
> <' > « >
Рис. 7.3. Защита от атак SYN с помощью ТСР-перехвата
В режиме перехвата (установленном по умолчанию) соответствующее программное
обеспечение перехватывает пакеты синхронизации (SYN) от клиентов к серверам и
сверяет их с расширенным списком доступа. Средства ТСР-перехвата обеспечивают
прокси-сервис, генерируя ответы клиенту вместо сервера и проверяя право клиента на
установку связи с сервером. Если запрос клиента правомерен, система ТСР-перехвата
устанавливает соединение с сервером от имени клиента и обеспечивает нормальный
254 Часть III. Защита межсетевых соединений

поток от источника к адресату, связав два "полусоединения" вместе. При этом сред-
средства ТСР-перехвата продолжают перехватывать и переправлять пакеты в течение всего
времени существования соединения.
В режиме мониторинга программное обеспечение ТСР-перехвата выполняет пас-
пассивное наблюдение за запросами на установку соединений, проходящими через мар-
маршрутизатор. Если какое-то соединение не удается установить в течение заданного
конфигурацией времени, программное обеспечение вмешивается в процесс и прекра-
прекращает попытку установки соединения.
Система ТСР-перехвата переходит в агрессивный режим в случае признаков ла-
лавинной атаки SYN, когда число наполовину открытых соединений превышает задан-
заданное конфигурацией пороговое значение. В агрессивном режиме пороговые значения
для соединений снижаются, наполовину открытые соединения, для которых эти по-
пороговые величины превышены, сбрасываются, а уже установленные легальные соеди-
соединения остаются открытыми.
Параметры TCP, которые обычно согласовываются с процедурой установки соеди-
соединения (например, параметры размеров окна, указанные в RFC 1323), в данном случае
не обсуждаются, поскольку программное обеспечение ТСР-перехвата не имеет ин-
информации о том, с каким сервером могут или будут вестись переговоры.
Все соединения ТСР-перехвата поддерживают коммутацию на уровне быстродей-
быстродействующих каналов, за исключением соединений RP/SP/SSP C7000, поддерживающих
только коммутацию процессов.
Средства ТСР-перехвата позволяют задерживать все запросы или только те, которые
прибыли из определенных сетей или адресованы определенным серверам. Можно также
установить скорость соединения и порог времени для соединений, ожидающих обработки.
Для настройки параметров ТСР-перехвата требуется выполнить следующие действия.
1. Определите расширенный список IP-доступа с помощью команды access-list яомер-
списка-доступа {deny | permit} tcp any адресат групповой-символ-адресата. Адрес полу-
получателя требуется для того, чтобы обеспечить защиту серверов назначения.
2. Активизируйте систему ТСР-перехвата с помощью команды ip tcp intercept
list иомер-списка-доступа.
3. Установите режим перехвата посредством команды ip tcp intercept mode
(intercept | watch}.
4. Проверьте действие ТСР-перехвата с помощью команды show tcp intercept
connections, отображающей информацию о наполовину установленных и уста-
установленных соединениях.
5. Проверьте статистику ТСР-перехвата с помощью команды show tcp intercept
statistics.
6. Если необходимо, измените настройки параметров ТСР-перехвата, выполнив
следующие действия с помощью соответствующих команд:
• установите режим сброса ТСР-перехвата;
• измените значения таймеров ТСР-перехвата;
• измените пороговые значения агрессивного режима ТСР-перехвата.
Более подробные сведения по рассматриваемому здесь вопросу можно найти в гла-
главе "Configuring TCP Intercept (Preventing Denial-of-Service Attacks)" руководства Cisco
IOS Security Configuration Guide, Release 12.1.
Глава 7. Настройка маршрутизатора периметра Cisco 255

В примере 7.4 расширенный список IP-доступа с номером 101 заставляет про-
программное обеспечение осуществлять перехват пакетов для всех TCP-серверов подсети
192.168.1.0/24.
ip tcp intercept list 101
!
access-list 101 permit tcp any 192.168.1.0 0.0.0.255
Замечание
Для защиты от лавинных атак SYN можно также использовать команды ip tcp
intercept, доступные в рамках системы СВАС программного обеспечения Cisco IOS
Firewall. При использовании СВАС применять TCP-перехват нельзя.
Применение шифрования сетевого
уровня
Шифрование сетевого уровня можно использовать в маршрутизаторе периметра
для того, чтобы обеспечить защиту связи между системами периметра. Шифрование
трафика на сетевом уровне применяется к потоку обмена данными между конкрет-
конкретными парами пользовательских приложений или подсетей, как показано на рис. 7.4.
Трафик между А и сервером HR шифруется
Сервер HR
Сервер
электронной
почты
Весь остальной трафик открыт
Рис. 7.4. Шифрование на сетевом уровне
Сетевое шифрование применяется только к информации полезного груза, а заго-
заголовки сетевого уровня остаются открытыми. Поэтому информация полезного груза
оказывается скрытой для промежуточных устройств сетевого уровня.
Поскольку шифрование действует на сетевом уровне, оно зависит от протокола, но
не от среды или интерфейса, что делает шифрование независимым от топологии сети.
Программное обеспечение Cisco IOS Software предлагает поддержку технологии
СЕТ (Cisco Encryption Technology — технология шифрования Cisco) и IPSec для шиф-
шифрования потока данных между маршрутизатором периметра и другими маршрутизато-
маршрутизаторами на сетевом уровне.
256
Часть III. Защита межсетевых соединений

Средства СЕТ шифрования сетевого уровня
Средства СЕТ представляют частную технологию защиты, используемую с Cisco
IOS Release 11.2. Эта технология обеспечивает шифрование данных на пакетном
уровне IP на основе стандартов DSS (Digital Signature Standard — стандарт цифровой
подписи), DH (алгоритм Диффи-Хеллмана обмена открытыми ключами) и DES (Data
Encryption Standard — стандарт шифрования данных).
Средства СЕТ можно использовать в маршрутизаторах периметра, чтобы обеспечить
защиту связей между двумя физически разделенными защищенными сетями. Операции
шифрования и дешифрования IP-пакетов выполняются только в маршрутизаторах, на-
настроенных на использование СЕТ. Такие маршрутизаторы рассматриваются как равно-
равноправные шифрующие стороны. Промежуточные устройства в процессе шифрования/
дешифрования участия не принимают. Пакеты шифруются в рамках выходного интерфей-
интерфейса одного маршрутизатора и дешифруются в рамках входного интерфейса другого.
Открытый (т.е. незашифрованный) поток данных, поступающий в маршрутизатор
из защищенной части сети, шифруется и передается через незащищенную часть сети.
Получив шифрованный поток данных, удаленный маршрутизатор дешифрует его и
только потом отправляет в защищенную часть своей (т.е. удаленной) сети. Более под-
подробное обсуждение выбора конфигурации средств СЕТ вы найдете в части V книги
"Технология шифрования Cisco".
Средства IPSec шифрования сетевого уровня
IPSec (IP Security — набор открытых стандартов обеспечения конфиденциально-
конфиденциальности, целостности и аутентификации данных между равноправными участниками об-
обмена данными) является базой применения открытых стандартов защиты частных
коммуникаций в сетях IP. IPSec гарантирует конфиденциальность, целостность и дос-
достоверность данных при пересылке их через открытые сети IP. IPSec предоставляет не-
необходимые компоненты для реализации гибкой политики защиты, основанной на ис-
использовании стандартов. IPSec может использоваться для защиты трафика между
маршрутизаторами периметров сетей, а также для создания виртуальных частных се-
сетей (сетей VPN) между центральным подразделением корпоративной сети и удален-
удаленными ее частями, удаленными филиалами или сетями внешних партнеров. При этом
можно шифровать весь поток данных между маршрутизаторами периметра или только
поток данных между отдельными узлами или частями сети, расположенными за мар-
маршрутизаторами. Корпоративные потребители получают все преимущества, доступные
для частных сетей, включая защиту, качество обслуживания (QoS), управляемость и
надежность. По сравнению с СЕТ, средства IPSec обеспечивают большую гибкость в
отношении выбора алгоритмов шифрования и поддержку большего числа IPSec-
сторон. О том, как настроить средства IPSec, будет идти речь в главах 15-18.
Средства трансляции IP-адресов
Маршрутизаторы периметра позволяют расширить пространство IP-адресов,
скрыть внутренние IP-адреса и упростить администрирование путем конвертирования
разрывных и нетрассируемых IP-адресов в трассируемые. Для этого маршрутизаторы
периметра используют средства NAT (Network Address Translation — трансляция сете-
сетевых адресов) и PAT (Port Address Translation — трансляция адресов портов).
Глава 7. Настройка маршрутизатора периметра Cisco 257

Использование NAT
Средства NAT предлагаются маршрутизаторами периметра и брандмауэрами с це-
целью трансляции внутренних локальных IP-адресов во внешние глобальные адреса, ко-
которыми обычно являются IP-адреса, выданные сетевым информационным центром
(Network Information Center— NIC). Средства NAT описаны в документе RFC 1631;
они могут использоваться в устройствах периметра, чтобы достичь следующих целей.
• Расширить относительно узкое пространство IP-адресов, выданных сетевым
информационным центром.
• Скрыть IP-адреса, используемые внутренней сетью и внутренними сетевыми
устройствами, от внешних наблюдателей.
• Обеспечить выход из внутренней сети в Internet, не заботясь об ограничениях
адресации Internet, проблемах дублирования адресов, а также о том, что ваши
внутренние IP-адреса не являются официально зарегистрированными.
Программное обеспечение Cisco IOS Software использует следующую терминологию.
• Внутренний локальный адрес. Адрес IP, присвоенный хосту в рамках внутренней
сети. Этот адрес, вероятнее всего, не является зарегистрированным IP-адресом,
выданным сетевым информационным центром или поставщиком сетевых услуг.
• Внутренний глобальный адрес. Зарегистрированный IP-адрес (выданный сетевым
информационным центром или поставщиком сетевых услуг), представляющий
внешнему миру один или несколько внутренних локальных IP-адресов.
• Внешний локальный адрес. Адрес IP внешнего хоста для внутренней сети. Это
не обязательно зарегистрированный адрес, он должен принадлежать простран-
пространству адресов, трассируемых для внутренней сети.
• Внешний глобальный адрес. Адрес IP, присвоенный хосту владельцем хоста для
представления во внешней сети. Этот адрес должен принадлежать пространству
глобально трассируемых сетевых адресов.
На рис. 7.5 показан пример использования маршрутизатора для трансляции адреса
источника 10.1.1.2 внутренней сети во внутренний глобальный адрес 172.16.1.100.
10.1.1.2
Внутренний
локальный
IP-адрес
10.1.1.2
10.1.1.3
Внутренний
глобальный
IP-адрес
172.16.1.100
172.16.1.101
Рис 7.5. Пример использования NAT
258
Часть III. Защита межсетевых соединений

Средства NAT могут быть настроены на статическую или динамическую трансля-
трансляцию адресов. При статической трансляции внутренние локальные адреса статически
отображаются во внутренние глобальные адреса. Например, на рис. 7.5 хост с адресом
10.1.1.2 статически отображается во внутренний глобальный адрес 172.16.1.100.
При динамической трансляции с интерфейсом связывается группа внутренних
глобальных адресов, и маршрутизатор динамически отображает внутренние локальные
адреса в доступные глобальные адреса из этой группы. На рис. 7.5 динамическая
группа адресов назначена интерфейсу sO маршрутизатора.
При использовании NAT создается таблица транслированных IP-адресов. Для
внешнего мира сеть использует определенный диапазон IP-адресов. Эти адреса ото-
отображаются в реальные адреса, используемые внутри сети предприятия. Когда бранд-
брандмауэр получает пакет из Internet, выполняется трансляция IP-адреса и пакет направ-
направляется соответствующему адресату. Точно так же исходящие сообщения получают
"экспортные" IP-адреса, а реальные скрываются.
Технология NAT может обеспечить следующие дополнительные возможности.
• Перегрузка внутренних глобальных адресов. Можно экономить адреса внутрен-
внутреннего пула глобальных адресов, разрешив маршрутизатору использовать один
глобальный адрес для нескольких локальных. Эта возможность обеспечивается
средствами PAT (Port Address Translation — трансляция адресов портов).
• Трансляция перекрывающихся адресов. Средства NAT позволяют транслировать
официально присвоенные IP-адреса, частные IP-адреса, соответствующие
RFC 1918, и произвольные IP-адреса, используемые во внутренней сети без
официальной регистрации.
Настройка динамических средств NAT
Чтобы настроить средства для динамической трансляции внутренних адресов ис-
источника, используйте следующие команды в режиме глобальной конфигурации.
1. С помощью команды ip nat pool имя начальный-ip-адрес конечный-ip-адрес {netmask
маска-сети | prefix-length длина-префикса} определите группу глобальных адресов,
которые будут использоваться по мере необходимости.
2. С помощью команды access-list номер-списка-доступа permit источник
[групповой-символ-источннка] определите стандартный список доступа для адресов,
которые должны транслироваться.
3. Активизируйте динамическую трансляцию адресов источника, используя команду
ip nat inside source list номер-списка-доступа pool имя с определенным на пре-
предыдущем шаге списком доступа.
4. Выберите внутренний интерфейс с помощью команды interface type number.
5. Посредством команды ip nat inside обозначьте этот интерфейс как присоеди-
присоединенный к внутренней части сети.
6. Выберите внешний интерфейс с помощью команды interface type number.
7. С помощью команды ip nat outside обозначьте этот интерфейс как присоеди-
присоединенный к внешней части сети.
Глава 7. Настройка маршрутизатора периметра Cisco 259

Рассмотрим пример 7.5, иллюстрирующий динамическую трансляцию внутренних
адресов источника в сети компании XYZ. Здесь динамически транслируются все адре-
адреса источника из списка доступа 1 (содержащего адрес из подсети 10.1.1.0/24) в адреса
из набора net-182. Этот набор содержит адреса из диапазона 172.16.1.100-172.16.1.199.
Пример>?.5. Динамическая трансляция внутренних адресов источника
в сети компании XYZ ¦•'•*¦ •¦•. ¦ . •*-.,. .•
ip nat pool net-182 172.16.1.100 172.16.1.199 netmask 255.255.255.0
ip nat inside source list 1 pool net-182
!
interface serial 0
ip address 172.16.1.1 255.255.255.0
ip nat outside
!
interface ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
access-list 1 permit 10.1.1.0 0.0.0.255
Использование PAT
Множество внутренних адресов можно транслировать в один внешний с помощью
средств PAT (Port Address Translation — трансляция адресов портов), что иногда называют
перегрузкой NAT. Технология PAT обеспечивает возможность расширения IP-адресов (хотя
и менее гибкую, чем NAT), что демонстрируют представленные ниже примеры.
• При применении PAT один IP-адрес может представлять до 64000 хостов
(теоретически, а практически можно использовать до 4000 хостов). Средства PAT
позволяют экономно использовать IP-адреса и доступные физические соединения.
• Средства PAT отображают разные номера портов TCP и UDP в один IP-адрес.
• Технология PAT обеспечивает частичную защиту. Адреса клиентов источника скры-
скрываются с помощью использования одного IP-адреса в маршрутизаторе периметра.
• Плотность адресов в пуле влияет на производительность системы.
Средства PAT позволяют экономить IP-адреса, выданные сетевым информационным
центром Internet (InterNIC). Они дают возможность использовать один зарегистрирован-
зарегистрированный IP-адрес в пуле глобальных адресов для всех исходящих соединений с Internet: IP-
адреса источника всех исходящих пакетов транслируются в один РАТ-адрес.
В пакетах UDP и TCP порты определяют сервис. При использовании PAT мар-
маршрутизатор периметра назначает уникальный номер порта источника каждому исхо-
исходящему соединению, тем самым обеспечивая возможность использования одного IP-
адреса многими соединениями.
Стандартные и назначенные с помощью средств PAT номера портов для трансля-
трансляции не применяются. Порты TCP и UDP адресата тоже не транслируются. Разные
локальные адреса отображаются в один глобальный, а необходимая уникальность ад-
адреса источника обеспечивается трансляцией портов.
260 Часть III. Защита межсетевых соединений

Замечание
Не используйте средства PAT, если необходим запуск приложений мультимедиа за
границей брандмауэра. Приложения мультимедиа предполагают доступ к определен-
определенным портам и могут конфликтовать со средствами отображения портов, используе-
используемыми в рамках PAT.
Настройка средств PAT
Рассмотрим пример использования средств PAT в сети компании XYZ (рис. 7.6). В
данном случае пользователю с рабочей станции А требуется установить сеанс Telnet с
хостами А и В.
Хост А
192.168.254.2
10.1.1.2
Рабочая станция А
Хост В
192.168.254.3
Порт
протокола
TCP/Telnet
TCP/Telnet
Внутренний
локальный
1Р-адрес:порт
10.1.1.1:1026
10.1.1.2:1027
Внутренний
глобальный
IP-адрес: порт
172.16.1.200:1026
172.16.1.200:1027
Внешний
глобальный
1Р-адрес:порт
192.168.254.2:23
192.168.254.3:23
Рис. 7.6. Пример использования PAT
Средства PAT размещаются в маршрутизаторе периметра и выполняют задачу ди-
динамической трансляции адресов источника в соответствии со списком доступа 1
(содержащим адрес из подсети 10.1.1.0/24) в адреса из набора net-182. Этот набор со-
содержит один IP-адрес 172.16.1.200.
Команда overload позволяет маршрутизатору использовать один глобальный адрес
для множества локальных. В примере 7.6 показан вариант применения PAT в сети
компании XYZ.
iкомпании
ip nat pool net-183 172.16.1.200 172.16.1.200 netmask 255.255.255.0
ip nat inside source list 2 pool net-184 overload
i
interface serial 0
ip address 172.16.1.1 255.255.255.0
ip nat outside
vT-
Глава 7. Настройка маршрутизатора периметра Cisco
261

interface ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
access-list 2 permit 10.1.1.0 0.0.0.255
Регистрация событий
маршрутизатора периметра
Как правило, регистрируются все события маршрутизатора периметра, и соответст-
соответствующие сообщения направляются серверу syslog. Для этого применяется команда
logging trap debugging. С помощью команды service timestamps к записям журнала
событий можно добавить штамп времени. Настройка параметров регистрации собы-
событий маршрутизатора периметра предполагает выполнение следующих действий.
1. С помощью команды logging trap уровень укажите уровень детализации кон-
контрольных сообщений, направляемых серверу syslog.
2. Посредством команды logging source-interface тип число укажите для пакетов
syslog IP-адрес некоторого конкретного интерфейса, независимо от того, по ка-
какому интерфейсу пакет покидает маршрутизатор.
3. С помощью команды logging host направьте контрольные сообщения серверу syslog.
4. Посредством команды logging on активизируйте создание контрольных сообщений.
5. С помощью команды service timestamps {log | debug} datetime [msec]
[localtime] [show-timezone] укажите необходимость добавления к контрольным
записям меток времени.
В примере 7.7 показан вариант настройки параметров регистрации событий периметра.
service timestamps log datetime msec
service timestamps debug datetime msec
logging trap informational
logging source-interface FastEthernet 0
logging 192.168.1.10
logging on
Perimeter lit show logging
Syslog logging: enabled @ messages dropped, 0 flushes, 0 overruns)
Console logging: level informational, 0 messages logged
Monitor logging: level informational, 0 messages logged
Buffer logging: disabled
Trap logging: level informational, 4583 message lines logged
Logging to 192.168.1.10, 4038 message lines logged
В этом примере сообщения о регистрации событий направляются брандмауэру PIX
Firewall с глобальным адресом 192.168.1.10, который статически отображается в IP-
адрес 10.1.1.4 сервера syslog внутренней сети.
262 Часть III. Защита межсетевых соединений

Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Программное обеспечение Cisco IOS Software предлагает мощные средства за-
защиты периметра и набор возможностей брандмауэра. Эти средства постоянно
совершенствуются.
• Cisco IOS Software содержит множество общих и интерфейсных команд, кото-
которые можно использовать при управлении сервисами TCP/IP с целью повыше-
повышения сопротивляемости системы атакам разведки и удаленного доступа.
• Можно использовать маршрутизатор периметра для защиты против атак блокирова-
блокирования сервиса, фильтруя входящий и исходящий трафики, чтобы не допустить фаль-
фальсификации IP-адресов, ограничивая скорость обмена для защиты от лавинных атак
ICMP и применяя средства TCP-перехвата для защиты от лавинных атак SYN.
• Шифрование сетевого уровня с помощью средств СЕТ и поддержка IPSec в
маршрутизаторах Cisco позволяют обеспечить защиту связи между маршрутиза-
маршрутизаторами периметра от прослушивания и хищения информации, а также от атак,
связанных с манипуляцией данными.
• Можно обеспечить защиту от атак изменения маршрутизации, используя мар-
маршруты по умолчанию или статические маршруты, контролируя возможности
объявления параметров маршрутизации и применяя средства аутентификации
маршрутов, предлагаемые протоколами маршрутизации.
• Списки доступа Cisco IOS Software являются мощным и гибким средством реа-
реализации политики сетевой защиты. Списки доступа можно использовать для
фильтрации пакетов и контроля входящего и исходящего трафиков.
• Защита типа замка предлагает возможность динамической конфигурации спи-
списков доступа после аутентификации пользователя, тем самым обеспечивая за-
защищенный доступ удаленных пользователей.
• Средства NAT расширяют возможности использования официально зарегист-
зарегистрированных IP-адресов и позволяют скрыть внутренние сетевые адреса от
внешних наблюдателей в Internet.
• Средства PAT расширяют возможности использования имеющихся соединений
с Internet и позволяют скрыть внутренние сетевые адреса от внешних наблюда-
наблюдателей в Internet.
• Необходимо направлять серверу syslog информацию о всех событиях маршрути-
маршрутизатора периметра, чтобы вовремя обнаруживать атаки против системы защиты
периметра и иметь возможность анализировать их.
Практическое занятие. Настройка
маршрутизатора периметра Cisco
Это практическое занятие иллюстрирует вариант настройки маршрутизатора пери-
периметра в сети гипотетической компании XYZ. Рассмотрите план практического заня-
занятия, изучите топологию соответствующей части сети и политику защиты, а затем про-
Глава 7. Настройка маршрутизатора периметра Cisco 263

анализируйте пример конфигурации, чтобы увидеть, как элементы политики защиты
реализуются в терминах команд настройки маршрутизатора периметра.
План практического занятия
Компания XYZ ставит перед вами задачу настроить маршрутизатор Cisco на вы-
выполнение функций маршрутизатора периметра и создание ДМЗ. Компания XYZ для
своей сети предлагает реализовать умеренно ограничивающую политику защиты.
Топология
На рис. 7.7 показана схема части сети компании XYZ, которая будет рассматриваться в
ходе этого занятия. Основным элементом здесь будет маршрутизатор периметра.
Линия
с ретрансляцией
кадров (Internet)
172.16.2.1/30
Маршрутизатор
периметра,
узел 2
172.16.1.1/30
'Грязная"
ДМЗ
Сервер NT:
FTP, HTTP, служба
сертификации
192.168.255.2/24
Система
Windows NT
Внешний. 1
PIX Firewall
Внутренний.
Бастионный Бастионный
хост: хост:
сервер Web шлюз электронной
сервер FTP почты
192.168.11.0/24 Защищенная
.1ДМЗ ¦ ДМЗ
Бастионный
хост:
сервер Web
сервер FTP
ИС
10.1.2.2-
10.1.2.10/24
Удаленный доступ
сети сбыта
Сервер
сетевого
доступа
Сервер NT:
CiscoSecure NT,
информационный Internet-
сервер FTP и Web, диспетчер
защиты Cisco, серверы Syslog и
TFTP
Рис. 7.7. Маршрутизатор периметра компании XYZ, управляющий сетевым доступом
Политика сетевой защиты
Умеренно ограничивающая политика сетевой защиты, которую стремится реализо-
реализовать компания XYZ, заключается в следующем.
264
Часть III. Защита межсетевых соединений

• Управление сервисами TCP/IP.
• Защита предоставляемых сервисов с помощью команд Cisco IOS Software.
• Управление доступом Admin (средства администрирования).
• Разрешение доступа Telnet к маршрутизатору периметра только с сервера
Windows NT внутренней сети.
• Запрет доступа SNMP из Internet к сети компании XYZ.
• Аутентификация сеансов Telnet с помощью учетных записей имен и паро-
паролей, хранимых в локальной базе данных защиты маршрутизатора периметра.
• Регистрация в сервере syslog всех попыток доступа Admin.
• Защита от фальсификации адресов источника.
• Запрет входящего трафика IP с адресами источника из ДМЗ или внут-
внутренней сети.
• Запрет исходящего трафика IP с адресами источника, соответствующими
внутренним адресам территориальной сети.
• Запрет движения пакетов с адресами источника, соответствующими локаль-
локальным хостам, широковещательным или групповым адресам.
• Запрет движения пакетов без адреса источника.
• Контроль входящего трафика.
• Разрешение входящего трафика TCP в рамках уже установленных сеансов TCP.
• Разрешение трафика SMTP к шлюзу электронной почты в бастионном узле.
• Разрешение трафика HTTP только к серверу Web в бастионном узле.
• Разрешение трафика SHTTP только к серверу Web в бастионном узле.
• Разрешение трафика FTP только к серверу FTP в бастионном узле.
• Разрешение трафика FTP к портам с номерами 1024 и выше на FTP-сервере
в бастионном узле.
• Разрешение запросов DNS к серверу DNS в бастионном узле.
• Разрешение трафика NNTP (Network News Transfer Protocol — сетевой про-
протокол передачи новостей) и NTP (Network Time Protocol — синхронизирую-
синхронизирующий сетевой протокол) от зарегистрированных серверов к бастионному узлу.
• Запрет всех остальных входящих потоков, для которых нет специального
разрешения.
• Регистрация информации обо всех запрещенных соединениях в сервере syslog.
• Контроль доступа ping.
• Запрет прямого доступа (ping и Telnet) ко внешнему интерфейсу брандмау-
брандмауэра PIX Firewall.
• Разрешение входящих запросов ping к внешнему интерфейсу маршрутизато-
маршрутизатора периметра только от главного узла поставщика услуг Internet.
• Регистрация событий маршрутизатора периметра.
• Направление вывода сообщений о регистрации маршрутизатора периметра
внутреннему серверу syslog на сервере NT.
Глава 7. Настройка маршрутизатора периметра Cisco 265

• Регистрация всех событий маршрутизатора периметра в сервере syslog.
• Использование штампов времени для сообщений протокола и отладки.
• Контроль доступа к маршрутизатору с консоли, портов aux и линий vty.
Пример конфигурации маршрутизатора периметра
Рассмотрим вариант конфигурации маршрутизатора периметра сети компании
XYZ, показанный в примере 7.8. В этом примере реализуются элементы политики
зашиты, связанные с системой защиты периметра. Здесь предложена одна из возмож-
возможных конфигураций маршрутизатора, реализующих описанную политику защиты. Об-
Обратите внимание на то, что листинг содержит комментарии, поясняющие связь ко-
команд маршрутизатора с соответствующими требованиями политики защиты. Коман-
Команды, не имеющие отношения к рассматриваемому вопросу, были из листинга удалены.
Данная конфигурация соответствует маршрутизатору Cisco 1720.
ример конфигурации маршрутизатора периметра сети ,,-.Щ: Щ
Current configuration:
!version 12.0
!
! Установка штампов времени для сообщении протокола и отладки
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
no service password-encryption
l Контроль сервисов TCP/IP
no service udp-small-servers
no service top-small-servers
!
hostname Perimeterl
!
logging buffered 4096 debugging
no logging console
«
l Аутентификация сеансов Telnet с помощью имен пользователей и паролей
! в локальной базе данных защиты маршрутизатора периметра
ааа new-model
ааа authentication local-override
ааа authentication login no_tacacs enable
ааа authentication login default local
!
user-name student password 0 cisco
memory-size iomem 25
clock timezone PST -8
clock summer-time zone recurring
ip subnet-zero
! Контроль сервисов TCP/IP
266 Часть III. Защита межсетевых соединений

no ip source-route
no ip finger
ip tcp selective-ack
ip tcp path-mtu-discovery
no ip domain-lookup
i
no ip bootp server
!
interface SerialO
ip address 172.16.1.1 255.255.255.252
ip access-group 101 in
! Контроль сервисов TCP/IP
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
encapsulation frame-relay
no ip route-cache
no ip mroute-cache
frame-relay lmi-type Cisco
i
interface Seriall
no ip address
no ip directed-broadcast
shutdown
!
interface FastEthernetO
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
! Контроль сервисов TCP/IP
no ip redirects
no ip unreachables
no ip directed-broadcast
no ip proxy-arp
no ip route-cache
no ip mroute-cache
i
ip classless
! Статические маршруты к маршрутизатору провайдера
ip route 0.0.0.0 0.0.0.0 192.168.255.4
! Контроль сервисов TCP/IP
no ip http server
! регистрация в сервере syslog всех событий маршрутизатора периметра
logging trap debugging
! Отправка записей о регистрации маршрутизатора периметра внутреннему серверу syslog
! на сервере NT. Адрес 10,1.1.4 сервера syslog статически отображается в 192.168.1.10
! брандмауэром PIX Firewall
Глава 7. Настройка маршрутизатора периметра Cisco 267

logging source-interface FastEthernetO
logging 192.168.1.10
!
! Разрешение доступа Telnet к маршрутизатору периметра только с сервера Windows NT
! внутренней сети
access-list I permit 192.168.1.10
! Фильтрация входящего потока с целью выявления фальсифицированных и недопустимых адресов
access-list 101 deny ip 127.0.0.0 0.255.255.255 any log
access-list 101 deny ip 255.0.0.0 0.255.255.255 any log
access-list 101 deny ip 224.0.0.0 7.255.255.255 any log
access-list 101 deny ip host 0.0.0.0 any log
! Запрет входящего трафика IP с адресами источника нэ ДМЗ и внутренней сети
access-list 101 deny ip 192.168.1.0 0.0.0.255 any log
access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
access-list 101 deny udp any any eq snmp
! Разрешение входящего трафика TCP уже установленных сеансов TCP
access-list 101 permit tcp any 192.168.1.0 0.0.0.255 established
! Разрешение трафика SMTP к шлюэу электронной почты в бастионном уэле защищенной ДМЗ
access-list 101 permit top any host 192.168.1.4 eq smtp
! Разрешение трафика HTTP только к серверу Neb в бастионном узле
! Порт 444 является портом HTTPS
access-list 101 permit tcp any host 192.168.1.3 eq www
access-list 101 permit tcp any host 192.168.1.3 eq 443
! Разрешение трафика FTP только к серверу FTP в бастионном узле
access-list 101 permit tcp any host 192.168.1.3 eq ftp
access-list 101 permit tcp any host 192.168.1.3 eq ftp-data
! Разрешение трафика FTP к портам с номерами 1024 и выше на сервере FTP
! в бастионном уэле
access-list 101 permit tcp any host 192.168.1.3 gt 1023
! Разрешение пропускать ответы на запросы отклика ICMP к хостам и сетевым устройствам KYZ
access-list 101 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 101 permit icmp any host 172.16.1.1 echo-reply
! Разрешение входящих запросов к внешнему интерфейсу маршрутизатора периметра только
! для хоста поставщика услуг Internet
access-list 101 permit icmp host 192.168.255.2 host 172.16.1.1 echo
! Разрешение DNS-эапросов к серверу DNS в бастионном уэле
access-list 101 permit udp any host 192.168.1.3 eq domain
l Разрешение трафика NNTP и NTP к бастионному узлу
access-list 101 permit tcp host 192.168.255.2 host 192.168.1.3 eq nntp
access-list 101 permit udp host 192.168.255.2 host 192.168.1.3 eq ntp
! Запрет прямого доступа (ping и Telnet) к внешнему интерфейсу брандмауэра PIX
access-list 101 deny icmp any host 192.168.1.1 echo log
access-list 101 deny tcp any host 192.168.1.1 eq telnet log
! Запрет прямого доступа Telnet к маршрутизатору периметра
access list 101 deny top any host 172.16.1.1 eq telnet log
access-list 101 deny top any host 192.168.1.2 eq telnet log
l Запрет всех остальных входящих потоков, для которых нет специального разрешения
! Регистрация информации о всех запрещенных соединениях в сервере syslog
268 Часть III. Защита межсетевых соединений

access list 101 deny ip any any log
I Запрет исходящего трафика IP с адресами источника, соответствующими внутренним
! адресам территориальной сети
access list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip any any log
! Контроль сервисов TCP/IP
no cdp run
!
line con 0
exec-timeout 0 0
logging synchronous
login local
transport input none
line aux 0
no exec
login local
line vty 0 4
access-class 1 in
login local
!
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Сформулируйте три задачи системы защиты периметра.
2. Укажите компоненты, из которых состоит система защиты периметра, и кратко
опишите функции, которые эти компоненты должны выполнять.
3. Какие задачи выполняет маршрутизатор периметра Cisco?
4. Где и с какой целью используется команда ip route 0.0.0.0 0.0.0.0 172.16.100.2
в системе защиты периметра?
5. Какие команды Cisco IOS Software следует использовать для управления сервиса-
сервисами TCP/IP в маршрутизаторе периметра, чтобы блокировать запросы отклика и
finger из Internet?
6. Какие команды Cisco IOS Software можно использовать для того, чтобы не допус-
допустить использования маршрутизатора периметра в качестве широковещательного
усилителя в распределенных атаках блокирования сервиса?
7. Какие адреса следует фильтровать во входящем трафике маршрутизатора пери-
периметра, чтобы обеспечить защиту от атак фальсификации IP-адресов?
8. Какие списки доступа используются для защиты типа замка?
9. Назовите шесть команд, которые следует использовать для настройки динамиче-
динамических средств NAT в маршрутизаторе периметра.
10. Почему важно регистрировать события маршрутизатора периметра в сервере syslog?
Глава 7. Настройка маршрутизатора периметра Cisco 269

Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, и поэтому для более пол-
полного их понимания и применения на практике соответствующих средств требуется
более глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о су-
сути проблем, обсуждавшихся в этой главе.
Общие вопросы защиты периметра
Chapman and Zwicky. Building Internet Firewalls. O'Reilly Publishing, 1995. Предлагает
всестороннее освещение вопросов построения системы брандмауэра для защиты пе-
периметра сети.
Rubin, Geer and Ranum. Web Security Sourcebook., John Wiley, 1997.
Simson, Garfinkel and Spafford. Practical UNIX and Internet Security. Second Edition,
O'Reilly & Associates, 1996.
Simson, Garfinkel and Spafford. Web Security and Commerce. O'Reilly & Associates, 1997.
Cisco IOS Firewall
Web-страница Cisco со списком ссылок, касающихся брандмауэров Cisco IOS Firewall,
размещается по адресу: www.cisco.com/warp/public/cc/cisco/mkt/security/iosfw/prodlit/fire_ds.htm.
Сводка данных Cisco Secure Integrated Software предлагает подробный обзор воз-
возможностей Cisco IOS Firewall по адресу: www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/
prodlit/fire_ds .htm.
Подборка фактов, касающихся маршрутизаторов Cisco 1605-R Dual Ethernet
Router и брандмауэров Cisco IOS Firewall, размещается по адресу: www.cisco.com/warp/
public/cc/cisco/mkt/access/1600/index.shtml.
Защита от блокирования сервиса
и фильтрация пакетов
"The Cisco IOS TCP Intercept Product Bulletin number 576", бюллетень продуктов Cisco,
описывающий возможности TCP-перехвата, размещается по адресу: www.cisco.com/
warp/public/cc/cisco/mkt/ios/rel/prodlit/576_pp.htm.
"Improving Security on Cisco Routers", неформальное обсуждение некоторых пара-
параметров конфигурации маршрутизаторов границы сети Cisco, которые следует исполь-
использовать сетевым администраторам для усиления защиты, находится по адресу:
www.cisco.com/warp/public/707/21.htm#self-flood.
RFC 2827. Ferguson P. and Senie D. Network Ingress Filtering: Defeating Denial of Service
Attacks Which Employ IP Source Address Spoofing, май 2000 г.; размещается по адресу:
www.ietf.org/tfc/rfc2827.txt.
"Security Technical Tips: Internetworking", страница с практическими советами по
защите межсетевого взаимодействия, которая поддерживается инженерами Центра
технической помощи Cisco, чтобы помочь при разрешении проблем защиты межсете-
межсетевого взаимодействия; размещается по адресу: www.cisco.com/warp/public/707/.
"Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks", Белая
книга Cisco от 17 февраля 2000 г.; размещается по адресу: www.cisco.com/warp/public/
707/newsnash. html#overview.
270 Часть III. Защита межсетевых соединений

Средства NAT и PAT
Раздел "Configuring Network Address Translation" главы "Configuring IP Addressing"
руководства Cisco IOS IP and IP Routing Configuration Guide, Release 12.1.
Почтовые списки защиты
Academic Firewalls. Отправьте запрос на подписку по адресу: majordomo@net.tamu.edu.
CERT Advisories. Отправьте запрос на подписку по адресу: cert-advisory-request@cert.org.
Firewalls Digest List. Отправьте запрос на подписку по адресу: www.gnac.net/firewalls.
Intrusion Detection Systems (IDS). Отправьте запрос на подписку по адресу;
majordomo@uow.edu.au.
The RISKS Forum. Отправьте запрос на подписку по адресу: risks-request@csl.sri.com.
Глава 7. Настройка маршрутизатора периметра Cisco 271

Изучив материал этой главы ш i i. можем с ьыно шить i к тощие згшчн
• Выяснить возможЯжи браням i\ ),i i ( im.o IOS Firewall. „
j^^^^^^^^^^^~ ' $%$i'r" ffi$W ^$&Ж
• Настроить cj»rasaCiscqlpK)S Firewall дд# защиты сети,^ссмотренной в ходе
практиче
Пров&
нятия.
им образом.
ированиеййвсо IOS Firev
рандмауэр настроен
•М -:
>.*-*

Глава
8
Настройка Cisco IOS Firewall
|ной главе описываются возможности брандмауэра Cisco IOS Firewall, извест-
как CiscoSecure Integrated Software (CSIS). Возможности Cisco IOS Firewall
; собой средства защиты, предлагаемые в рамках программного обеспече-
kSoftware; они включают в себя функциональные возможности бранд-
обнаружения вторжений для периметра сети, расширяющие воз-
^Cisco IOS Software.
i соответствующего процесса настройки основные его шаги будут
на примерах. Для проверки конфигурации брандмауэра Cisco IOS
эманды отладки, которые также представлены в этой главе.
средствам СВАС (Context-Based Access Control — управле-
контекста) брандмауэра Cisco IOS Firewall. Здесь представлен
ей настройки СВАС и рассмотрено приложение ConfigMaker,
яастройки политики защиты Cisco IOS Firewall.
Cisco IOS Firewall вы сможете закрепить в ходе практиче-
[олжйв настройку средств защиты сети гипотетической компании
кладном уровне.
Задачи защиты Cisco IOS Firewall
и их решения
[ториальной сети, как правило, предполагает выход в Internet
ивающего персонала предприятия, но нарушителям это дает
ресурсы компании, если сетевая политика защиты не
вана должным образом. Они могут пытаться получить доступ
ать бизнесу посредством мобильного кода в виде аплетов Java
я сервиса.
от таких атак сегодня и не допустить их в будущем, необходимо
фильтрации пакетов на прикладном уровне и использовать систе-
извещений об опасности, работающую в реальном масштабе
^холимо обеспечить более сильную защиту без дополнительных ап-
в, для этого можно использовать брандмауэр Cisco IOS Firewall. Глав-
том этого брандмауэра являются средства СВАС, которые в этом случае
енять в маршрутизаторах периметра.
иман
м на
воз
ом
олученнше з
•го занятия?
от атак на
фрастру
днико
"не
препя
блокиро
тобы зашит
енять с
предуп
мен
ршйвхс
омп
едует

Как уже говорилось в предыдущих главах, конфигурация средств защиты и соот-
соответствующая политика должны соответствовать потенциальным угрозам. Например,
для блокирования опасных аплетов необходимо соответствующим образом настроить
средства СВАС, а для контроля превышения пороговых значений активности потреб-
потребления сетевых ресурсов следует осуществлять мониторинг предупреждающих извеще-
извещений с помощью средств Cisco IOS Firewall.
Внимание!
Средства СВАС работают с IPSec только в том случае, если они применяются в ко-
конечных маршрутизаторах, использующих IPSec, поскольку система СВАС проверяет
только пакеты TCP и UDP, а номер протокола в IP-заголовке пакета IPSec не соответ-
соответствует ни TCP, ни UDP.
Конфигурация Cisco IOS Firewall
Брандмауэр Cisco IOS Firewall призван обеспечить доступ к сетевым ресурсам ле-
легальным пользователям, запретить доступ к внутренней сети внешним несанкциониро-
несанкционированным объектам и защититься от сетевых атак. Средства Cisco IOS Firewall позволяют
настроить маршрутизатор на выполнение функций брандмауэра Internet, брандмауэра
между группами узлов внутренней сети или между сетью компании и сетями партнеров.
Средства Cisco IOS Firewall предлагают широкие возможности защиты, позволяю-
позволяющие обеспечить безопасность сети. В дополнение к средствам СВАС, еше одним клю-
ключевым компонентом Cisco IOS Firewall является система обнаружения вторжений. Оба
компонента подробно обсуждаются в этой главе.
Возможности Cisco IOS Firewall
Средства Cisco IOS Firewall обеспечивают интегрированные функциональные воз-
возможности брандмауэра для сетей Cisco и усиливают защиту маршрутизаторов Cisco.
Основные возможности Cisco IOS Firewall представлены ниже.
• Система СВАС (управление доступом на основе контекста). Обеспечивает внут-
внутренним пользователям безопасность доступа к сети посредством контроля всего
трафика на прикладном уровне по всему периметру (например, между частной
сетью предприятия и Internet).
• Система обнаружения вторжений. Обеспечивает мониторинг состояния сети в
реальном масштабе времени, а также реакцию на неправильное использование
ее ресурсов, применяя для этого информацию об известных типах сетевых атак
и сигнатуры, характеризующие вторжение.
• Опосредованная аутентификация (proxy). Динамическая аутентификация и автори-
авторизация пользователей при внутрисетевых и удаленных подключениях. Соответст-
Соответствующие процедуры основываются на использовании протоколов аутентификации
TACACS+ и RADIUS, являющихся отраслевыми стандартами. Сетевые админи-
администраторы получают при этом возможность применять индивидуальную политику
защиты в отношении каждого пользователя.
• Обнаружение атак блокирования сервиса и защита от них. Защита ресурсов мар-
маршрутизатора от известных типов атак. Проверка заголовков пакетов, запрет
прохождения подозрительных пакетов.
274 • Часть III. Защита межсетевых соединений

Динамическое отображение портов. Позволяет сетевым администраторам исполь-
использовать поддерживающие СВАС приложения с нестандартными портами.
Блокирование аплетов Java. Защита от неопознанных и подозрительных апле-
тов Java.
Виртуальные частные сети (VPN), шифрование IPSec и поддержка QoS. Использова-
Использование средств шифрования Cisco IOS Software, создание туннелей и поддержка воз-
возможностей QoS (Quality of Service — качество обслуживания; показатель эффектив-
эффективности системы передачи данных, обеспечивающий заданное качество обслуживания
приложений) для защиты сетей VPN. Обеспечивают создание масштабируемых
шифрованных туннелей в маршрутизаторе с сохранением надежности зашиты пе-
периметра, а также представляют расширенные возможности управления пропускной
способностью, обнаружения вторжений и контроля на уровне сервисов. Основаны
на стандартах, обеспечивающих взаимодействие сетей.
Предупреждающие извещения в реальном масштабе времени. Сообщения об ата-
атаках блокирования сервиса и других предусмотренных конфигурацией событиях.
Могут быть настроены для каждого приложения в отдельности на уровне его
возможностей.
Записи аудита. Регистрация подробной информации о транзакциях. Соответст-
Соответствующие записи содержат штампы времени, адреса хостов источника и адресата,
номера портов, информацию о продолжительности существования соединения
и общем количестве переданных байтов. Могут быть настроены для каждого
приложения в отдельности на уровне его возможностей.
Регистрация событий. Помогает обнаруживать возможные бреши в системе зашиты
и нестандартные действия пользователей в режиме реального времени. Администра-
Администратор сети может направить сообщения о системных ошибках на консольный терми-
терминал или сервер syslog, установить степень их серьезности и другие параметры.
Управление брандмауэром. Мастер конфигурации сети, под руководством кото-
которого можно выполнить пошаговое изменение структуры сети и адресации, а
также настроек Cisco IOS Firewall.
Защита конфигурации политики защиты. Доступна на маршрутизаторах Cisco 1600,
1720, 2500, 2600 и 3600. Поддерживается также конфигурация средств NAT и IPSec.
Интеграция с Cisco IOS Software. Взаимодействие со средствами Cisco IOS с це-
целью реализации интегрированной политики защиты сети.
Базовые и расширенные средства фильтрации трафика. Стандартные и расширенные
списки управления доступом. Применение средств управления доступом к опреде-
определенным сегментам сети и определение трафика, которому разрешается движение
через эти сегменты. Динамические списки управления доступом с возможностями
защиты типа замка позволяют временный доступ через брандмауэры на основе ре-
результатов аутентификации пользователя (по имени и паролю).
Поддержка множества интерфейсов в соответствии с политикой защиты. Позволя-
Позволяет управлять доступом пользователей на основе контроля IP-адресов и интер-
интерфейсов в соответствии с политикой защиты.
Возможности резервирования и автоматическое исправление ошибок. Автоматиче-
Автоматическое направление трафика к резервному маршрутизатору при отказе основного.
Глава 8. Настройка Cisco IOS Firewall 275

Трансляция сетевых адресов (NAT). Скрывает структуру внутренней сети от
внешних наблюдателей с целью усиления защиты.
Зависящие от времени списки доступа. Изменение политики защиты в зависимо-
зависимости от времени суток и дня недели.
Аутентификация соседних маршрутизаторов. Гарантирует надежность информа-
информации о маршрутизации, получаемой маршрутизатором.
Обнаружение вторжений
Система обнаружения вторжений Cisco IOS Firewall действует, как встроенный
датчик выявления вторжений, осуществляя наблюдение за пакетами и другими дан-
данными сеансов связи по мере их движения через маршрутизатор. Целью является свое-
своевременное выявление известных сигнатур вторжения. Если обнаруживаются подозри-
подозрительные действия, система реагирует на них до того, как будет взломана защита сети,
и регистрирует соответствующее событие с помощью средств syslog. Администратор
сети может настроить систему обнаружения вторжений на соответствующий ответ для
каждой известной угрозы.
Система обнаружения вторжений брандмауэра Cisco IOS Firewall распознает 59 типов
наиболее известных атак, используя для этого сигнатуры вторжения, т.е. характеристики
особенностей сетевого трафика. Сигнатуры вторжения, применяемые системой обнаруже-
обнаружения вторжений Cisco IOS Firewall, были выбраны на основе анализа большого числа из-
известных сигнатур вторжения. Описания некоторых из них показаны в табл. 8.1.
Шица8,|. Призеры сйгн
Идентификатор Короткий Описание
сигнатуры заголовок
3045 Quest) Sweep Эта сигнатура позволяет обнаружить сообщения Fin, SynFin или Push,
отправляемые с одного конкретного хоста на другой
3450 Finger Bomb Данная сигнатура позволяет обнаружить атаки блокирования сервера
finger, в ходе которых ему направляются запросы, содержащие мно-
множество символов @ (при поддержке ретрансляции запросов поток
символов @ заставляет сервер рекурсивно вызвать себя и напрасно
расходовать системные ресурсы)
4053 Back Orifice Создает люк в Windows 95/98, позволяющий удаленному нарушителю
контролировать компьютер через соединение TCP/IP с помощью про-
простого консольного приложения или графического интерфейса
4600 IOS UDP Bomb Некоторые системы Cisco IOS не способны обработать UDP-пакеты,
связанные с портом 514 и не содержащие данных (получив такой па-
пакет, маршрутизатор зависает или перезагружается)
Система обнаружения вторжений брандмауэра Cisco IOS Firewall доступна не на всех
маршрутизаторах. Ее поддерживают маршрутизаторы серий 2600, 3600, 7100 и 7200.
Список и полное описание всех сигнатур вторжений Cisco IOS Firewall можно
найти в документации Cisco IOS Firewall; самый последний вариант представлен на
Web-странице Cisco, размещенной по адресу: www.cisco.com.
276
Часть III. Защита межсетевых соединений

Подготовка Cisco IOS Firewall
Чтобы добиться максимальной отдачи от средств защиты Cisco IOS Firewall, необ-
необходимо сделать следующее.
• Выбрать подходящий сервер защиты. Система Cisco IOS Firewall может высту-
выступать в качестве клиента сервера защиты TACACS +, RADIUS или Kerberos.
• Определить, какие типы списков доступа и где следует использовать. Система
Cisco IOS Firewall допускает работу со стандартными, динамическими, расши-
расширенными, статическими и рефлексивными списками доступа.
• Решить, использовать ли СВАС. Средства СВАС доступны только в рамках Cisco
IOS Firewall. При использовании СВАС не применяйте рефлексивные списки
доступа, средства WebSense и ТСР-перехват.
• Решить, использовать ли NAT. Возможности Cisco IOS Firewall допускают при-
применение NAT (трансляция сетевых адресов). Средства NAT не работают с про-
протоколами прикладного уровня RPC, VDOLive и SQL*Net Redirected (но работа-
работают с SQL*Net Bequeathed).
• Решить, использовать ли ТСР-перехват. Если вы решите применить ТСР-
перехват (программное средство защиты от синхронных атак с помощью пере-
перехвата и проверки запросов установки TCP-соединений), не используйте его од-
одновременно с СВАС.
• Решить, использовать ли шифрование. Система Cisco IOS Firewall допускает
применение средств шифрования СЕТ (Cisco Encryption Technology — техно-
технология шифрования Cisco) и IPSec.
Функционирование СВАС
Средства СВАС позволяют создавать временные "проходы" в списках доступа ин-
интерфейсов брандмауэра для определенных потоков, покидающих внутреннюю сеть че-
через брандмауэр. Такие проходы используются затем для принятия возвращенных дан-
данных (которые обычно не пропускаются брандмауэром) и создания соответствующих
дополнительных каналов для связи с внутренней сетью через брандмауэр. Средства
СВАС разрешают создание таких каналов только в рамках уже существующего сеанса,
открытого по запросу исходного трафика, инициировавшего СВАС при выходе из се-
сети через брандмауэр.
На рис. 8.1 показана схема функционирования СВАС. При этом выполняются сле-
следующие действия.
1. Пользователь инициирует начало сеанса Telnet.
2. Система СВАС разрешает обратный поток данных, возвращаемых пользователем
в рамках установленного сеанса Telnet.
3. Система СВАС блокирует любые другие попытки установить внешний трафик Telnet.
На рис. 8.1 показан сеанс Telnet, но система СВАС может контролировать и одно-
канальный режим или (что происходит чаще всего) протоколы TCP и UDP.
Система СВАС может проверять следующие протоколы прикладного уровня:
• CU-SeeMe (только в версии White Pine);
• FTP;
Глава 8. Настройка Cisco IOS Firewall 277

• Н.323 (например, NetMeeting и ProShare);
• HTTP (блокирование Java);
Сеанс Telnet пользователя 1
Внешние сеансы
Telnet блокируются
Маршрутизатор периметра,
использующий СВАС
Ответ пользователя 1 в рамках
созданного сеанса Telnet
О
Пользователь 1
Рис. 8.1. Система СВАС в действии
• Java;
• Microsoft NetShow;
• команды г UNIX (например, rlogin, гехес и rsh)
• RealAudio;
• RPC (Sun RPC, но не DCE RPC);
• Microsoft RPC;
. SMTP
. SQL*Net;
• StreamWorks;
• TFTP;
. VDOLive.
При проверке протокола система СВАС инспектирует все пакеты в рамках этого про-
протокола и генерирует информацию о соответствующем состоянии. Обратно через брандмау-
брандмауэр принимаются только пакеты, пересылаемые в рамках уже установленного сеанса.
Ограничения СВАС
Для совместимости с другими технологиями система СВАС предполагает следую-
следующие ограничения.
• Средства СВАС доступны только для трафика IP. Проверяются только пакеты
TCP и UDP. Другие потоки данных IP (например, ICMP) средствами СВАС не
проверяются и должны фильтроваться списками доступа.
• Изменяя конфигурацию списков доступа при настройке СВАС, не забывайте о том,
что если списки доступа блокируют трафик TFTP в рамках некоторого интерфейса,
то вы не сможете выполнить сетевую перезагрузку по этому интерфейсу (это не ог-
ограничение СВАС, а функциональная особенность списков доступа).
• Пакеты, адресом источника или назначения которых является хост СВАС, не
проверяются с помощью средств СВАС и списков доступа.
• Система СВАС игнорирует ICMP-сообщения Unreachable (недоступен).
278
Часть III. Защита межсетевых соединений

• Система СВАС не позволяет трехстороннюю передачу FTP (подключение
третьей стороны в рамках FTP).
• При проверке трафика FTP средствами СВАС разрешается создавать только ка-
каналы с номерами портов назначения 1024-65535.
• Система СВАС не откроет канал, если аутентификация клиента/сервера FTP
завершится аварийно.
• Совместимость СЕТ и СВАС предполагает следующее:
• если обмен данными между двумя маршрутизаторами осуществляется через
брандмауэр, использующий СВАС, и трафик между маршрутизаторами
шифруется, то система СВАС не сможет правильно обработать шифрован-
шифрованные данные пакетов;
• если в брандмауэре одновременно применяется шифрование СЕТ и СВАС,
используйте СВАС только для протоколов TCP и UDP, CU-SeeMe или
StreamWorks.
• Совместимость IPSec и СВАС предполагает следующее:
• при одновременном использовании в маршрутизаторе средств СВАС и
IPSec, если брандмауэр маршрутизатора является конечной точкой трафика
IPSec, средства IPSec оказываются совместимыми с СВАС (т.е. система
СВАС способна правильно выполнить проверку потока данных);
• если маршрутизатор не является конечной точкой IPSec, система СВАС не
будет проверять пакеты IPSec, поскольку номер протокола в IP-заголовке
пакета IPSec не соответствует TCP или UDP (система СВАС проверяет
только пакеты TCP и UDP).
Таким образом, средства IPSec и СВАС могут сосуществовать в маршрутизаторе
периметра, если проверка пакетов выполняется в рамках внутреннего интер-
интерфейса, а шифрование осуществляется внешним интерфейсом, поскольку в этом
случае проверка выполняется для незашифрованного трафика.
Память и производительность СВАС
Требования системы СВАС к памяти и ее производительность зависят от следую-
следующих параметров.
• СВАС использует по 600 байт памяти на каждое соединение.
• СВАС потребляет часть ресурсов процессора для проверки пакетов.
• СВАС потребляет незначительную часть ресурсов процессора для проверки списков
доступа ввиду эффективной схемы хранения списков доступа (предполагающей их
хэширование и оценку хэшированных значений).
Настройка СВАС
В этом разделе описан процесс настройки СВАС. Система СВАС предлагает доста-
достаточно широкие возможности проверки трафика и может стать неотъемлемой частью
брандмауэра сети. Примеры конфигурации, предлагаемые в этой главе, соответствуют
структуре сети, представленной в разделе практического занятия.
Глава 8. Настройка Cisco IOS Firewall 279

В процессе настройки средств СВАС в маршрутизаторах Cisco выполняются сле-
следующие шаги.
Шаг 1. Выбор интерфейса. Можно разместить средства СВАС на внутреннем или внешнем
интерфейсе брандмауэра. Система СВАС блокирует попытки установить сеансы
связи извне. Если в том же маршрутизаторе периметра применяется шифрование,
то конечной точкой шифрования должен быть внешний интерфейс, а средства
СВАС должны проверять трафик на внутреннем интерфейсе.
Шаг 2. Настройка списков доступа IP для интерфейса. Необходимо использовать рас-
расширенный список доступа. Убедитесь в том, что список доступа допускает
трафик, который должен проверяться средствами СВАС, Если сервис бранд-
брандмауэра имеет только два соединения — внутреннее и внешнее — используйте
входные списки доступа, чтобы остановить пакеты до того, как они получат
возможность воздействовать на систему маршрутизатора. Список доступа для
исходящего трафика (предназначенного для отправки в Internet) должен до-
допускать трафик, проверенный с помощью СВАС.
Шаг 3. Установка глобальных пороговых значений. Глобальные ограничения времени и
другие пороговые значения задают предельную длительность сопровождения
сеанса, а также условия его прекращения, если процесс установки сеанса ос-
остается незавершенным. Применяются глобально ко всем сеансам.
Шаг 4. Выбор правила проверки. Правило проверки определяет, какие данные IP (т.е.
какие протоколы прикладного уровня) будут проверяться средствами СВАС.
Это правило указывает все протоколы прикладного уровня, которые необхо-
необходимо будет проверить, а также стандартные TCP и UDP.
Шаг 5. Применение правила проверки к интерфейсу. Для внешнего интерфейса исполь-
используйте правила исходящего трафика, а для внутреннего — входящего.
Шаг 6. Тестирование и контроль СВАС. Используйте show, debug и другие связанные с
ними команды для тестирования и контроля СВАС, а также для поиска и уст-
устранения неисправностей.
Шаг 1. Выбор интерфейса для СВАС
Необходимо решить, где разместить средства СВАС — на внутреннем или
внешнем интерфейсе брандмауэра. Внутренним интерфейсом называется сторона,
откуда должны устанавливаться сеансы, трафик которых пропускает или задержи-
задерживает брандмауэр. Внешним интерфесом называется сторона, откуда сеансы уста-
устанавливаться не могут (попытки внешней стороны установить сеанс блокируются).
Один порт (откуда устанавливаются сеансы) обозначим как внутренний, а дру-
другой — как внешний.
Чтобы система СВАС работала корректно, для соответствующего интерфейса
нужно правильно настроить списки доступа IP. Для того чтобы список доступа
допускал создание временных проходов, он должен быть расширенным. Для при-
применения списков доступа к возвращенному трафику тоже требуются расширенные
списки доступа. Не забывайте о том, что списки доступа для трафика, покидаю-
покидающего защищенную сеть, должны разрешать только поток данных, проверенных с
помощью СВАС.
280 Часть III. Защита межсетевых соединений

Если средства СВАС предполагается использовать в обоих направлениях, не-
необходимо настроить СВАС сначала в одном направлении, используя для интер-
интерфейса соответствующие обозначения — "внутренний" или "внешний". При на-
настройке СВАС в другом направлении обозначения интерфейса соответственно
меняются. (Система СВАС редко настраивается для применения в двух направле-
направлениях. Обычно это требуется, когда брандмауэр размещается между двумя сетями,
нуждающимися в защите одна от другой, например между сетями бизнес-
партнеров.)
Шаг 2. Настройка списков доступа IP
для интерфейса
Для настройки средств СВАС на внешнем интерфейсе потребуется следующее.
• Выходной список доступа IP на внешнем интерфейсе может быть стандартным
или расширенным. Такой список доступа должен разрешать трафик, который
вы собираетесь проверять с помощью СВАС. Если этот трафик запретить, он
будет отвергнут независимо от СВАС.
• Входной список доступа IP на внешнем интерфейсе должен быть расширен-
расширенным. Такой список доступа должен запрещать трафик, который проверяется с
помощью СВАС (средства СВАС создают временные проходы во входящем
списке доступа, позволяющие только возвратный поток данных в рамках уже
установленного сеанса).
На рис. 8.2 показана схема конфигурации внешнего интерфейса.
Трафик внешнепорожденного
сеанса разрешается или
блокируется в соответствии
со списком доступа
Внутренний
Возвратный трафик
установленного изнутри
сеанса разрешен
Внешний
Рис. 8.2. Конфигурация внешнего интерфейса
При настройке средств СВАС на внутреннем интерфейсе необходимо учитывать
следующее.
• Входной список доступа IP на внутреннем интерфейсе и выходной список дос-
доступа на внешнем могут быть стандартными или расширенными. Они должны
разрешать трафик, который вы собираетесь проверять с помощью средств
СВАС. Если этот трафик запретить, он будет отвергнут независимо от СВАС.
Глава 8. Настройка Cisco IOS Firewall
281

• Выходной список доступа IP на внутреннем интерфейсе и входной список дос-
доступа IP на внешнем должны быть расширенными. Выходные списки доступа
должны запрещать трафик, который проверяется с помощью СВАС (средства
СВАС создают временные проходы во входном списке доступа, позволяющие
только возвратный поток данных в рамках уже установленного сеанса). Не обя-
обязательно сразу иметь расширенные списки доступа для выходного внутреннего
интерфейса и входного внешнего интерфейса, но, по крайней мере, один такой
список доступа необходим для ограничения трафика, идущего через брандмауэр
во внутреннюю защищенную сеть.
На рис. 8.3 показана схема конфигурации внутреннего интерфейса.
Бастионный хост
в ДМЗ: серверы
Web и FTP
Входящий трафик
Исходящий трафик
Рис. 8.3. Конфигурация внутреннего интерфейса
Шаг 3. Установка глобальных пороговых значений
Система СВАС использует пороговые значения, чтобы знать, как долго нужно сле-
следить за состоянием сеанса и когда прекратить сеанс, если процесс его установки оста-
остается незавершенным. Эти параметры применяются глобально ко всем сеансам.
На рис. 8.4 схематически показан поток информации о состоянии сеанса, контро-
контролируемого системой СВАС.
SYN
(на многих портах)
SYN.ACK
(Да)
(этот порт остается открытым)
Рис. 8.4. Поток информации о состоянии сеанса, контролируемого средствами СВАС
В табл. 8.2 описываются общие команды управления состоянием сеансов и свя-
связанные с ними значения или диапазоны значений, принятые по умолчанию.
282
Часть III. Защита межсетевых соединений

Команда
Описание
Значение, принятое
по умолчанию
ip inspect tcp synwait-
time секунды
ip inspect name имя-
иабора rpc program-
number число [wait-time
минуты] [timeout секунды]
ip inspect tcp finwait-
time секунды
ip inspect tcp idle-
time секунды
ip inspect udp idle-
time секунды
ip inspect dns-timeout
секунды
ip inspect max-
incomplete high число
ip inspect max-
incomplete low число
ip inspect one-minute
high число
ip inspect one-minute
low число
Интервал времени, по истечении которого про-
программное обеспечение закроет сеанс TCP, если
он не успеет завершить процесс установки и пе-
перейти в установленное состояние
Номер программы RPC, которая должна разре-
разрешить трафик, связанный с этим номером.
Глобальные параметры ожидания TCP и UDP для кон-
конфетного сеанса протокола прикладного уровня могут
быть изменены. Соответствующие объяснения можно
найти в главе "Context-Based Access Control Com-
Commands" руководства Security Command Reference (в
разделе, посвященном описанию команды ip
inspect name режима глобальной конфигурации).
Параметр wait-time задает время, в течение
которого сохраняется проход в брандмауэре для
повторных соединений с тем же адресом источ-
источника и теми же адресом и портом назначения
Интервал времени, в течение которого допускает-
допускается существование сеанса TCP после того, как
брандмауэр зарегистрирует получение пакета FIN
Интервал времени, в течение которого допускается
существование неактивного сеанса TCP (предельное
время существования неактивного сеанса TCP)
Интервал времени, в течение которого допускается
существование неактивного сеанса UDP (предельное
время существования неактивного сеанса UDP)
Интервал времени, в течение которого допускает-
допускается существование неактивного сеанса поиска
имени DNS (более подробная информация со-
содержится в следующем разделе)
Число одновременно существующих полуоткрытых
сеансов, по достижении которого программное обес-
обеспечение начинает их удаление (более подробная ин-
информация содержится в следующем разделе)
Число одновременно существующих полуоткрытых
сеансов, по достижении которого программное
обеспечение прекращает их удаление
Частота появления полуоткрытых сеансов, по дос-
достижении которой программное обеспечение начи-
начинает их удаление
Частота появления полуоткрытых сеансов, по дос-
достижении которой программное обеспечение пре-
прекращает их удаление
30 с
Время ожидания
(wait-time) по умол-
умолчанию равно 0 мин
5с
3600 с A час)
30 с
5с
500 одновременно су-
существующих полуот-
полуоткрытых сеансов
400 полуоткрытых се-
сеансов
500 полуоткрытых се-
сеансов в минуту
400 полуотфытых се-
сеансов в минуту
Глава 8. Настройка Cisco IOS Firewall
283

Окончание табл. 8.2
Команда
Описание
Значение, принятое
по умолчанию
ip inspect tcp шах-
incomplete host число
block-time секунды
Число одновременно существующих полуоткрытых
сеансов TCP с одним и тем же адресом хоста на-
назначения, по достижении которого программное
обеспечение начинает их удаление.
Когда пороговое значение шах-incomplete
host превышено, система СВАС может закрывать
полуоткрытые сеансы по-разному, в зависимости
от значения block-time. Если оно равно 0, то
при появлении нового запроса соединения с хос-
хостом система СВАС удалит самое старое из суще-
существующих полуоткрытых соединений и разрешит
прием нового пакета SYN. Если значение block-
time больше 0, то СВАС удалит все полуоткры-
полуоткрытые сеансы для данного хоста и будет блокиро-
блокировать все новые запросы в течение времени, за-
заданного параметром block-time
50 полуоткрытых сеан-
сеансов TCP; 0 с; диапазон
0-250
Полуоткрытые сеансы
Большое число полуоткрытых сеансов (т.е. запросов соединения, оставшихся без
ответов) может означать либо атаку блокирования сервиса, либо опрос портов внеш-
внешним наблюдателем. Система СВАС контролирует как общее число полуоткрытых се-
сеансов, так и частоту попыток установить сеанс связи. Подсчитывается общее число
полуоткрытых сеансов TCP и UDP (число сеансов UDP аппроксимируется) и измеря-
измеряется частота их появления в минуту. Когда число полуоткрытых сеансов превысит
значение, заданное параметром max-incomplete high, система СВАС начинает их уда-
удаление, чтобы иметь возможность принимать новые запросы соединений. Программ-
Программное обеспечение удаляет полуоткрытые запросы до тех пор, пока число полуоткрытых
сеансов не станет меньше значения, заданного параметром nax-inconplete low.
Если частота попыток создания новых соединений превысит значение, заданное
параметром one-minute high, программное обеспечение начинает удаление полуот-
полуоткрытых сеансов, чтобы иметь возможность принимать новые запросы соединений.
Удаление полуоткрытых сеансов продолжается до тех пор, пока указанная частота не
будет соответствовать значению, заданному параметром one-ninute low. Частота равна
числу запросов новых соединений, подученных за последнюю минуту. Маршрутиза-
Маршрутизатор определяет эту частоту чаще, чем раз в минуту, и не продолжает удаление полуот-
полуоткрытых сеансов в течение минуты после прекращения атаки блокирования сервиса, а
останавливает удаление сразу же после того, как очередная проверка покажет, что
частота создания запросов ниже соответствующей пороговой величины.
Шаг 4. Выбор правила проверки
После настройки глобальных пороговых значений следующим шагом является вы-
выбор правила проверки, которое должно применяться в системе СВАС. Это правило
определяет типы трафика IP (т.е. протоколы прикладного уровня), которые должны
284
Часть III. Защита межсетевых соединений

проверяться системой СВАС в рамках данного интерфейса. Правило проверки должно
определять все протоколы прикладного уровня, которые требуется проверить (а также,
если требуется, стандартные TCP и UDP). Данное правило представляет собой набор
операторов с указанием протокола, связанных одним и тем же именем правила.
Чтобы определить правила проверки, необходимо сделать следующее.
1. Настроить параметры проверки протокола прикладного уровня.
2. Настроить параметры проверки Java.
3. Настроить параметры проверки TCP и UDP.
Правило проверки является обязательным компонентом СВАС. Если протокол (или
Java) не имеет соответствующего правила проверки для СВАС, средства СВАС игнори-
игнорируют его. При этом процесс настройки Java состоит из двух шагов, с помощью которых,
кроме правила проверки, настраивается еще список доступа Java. Сами правила имеют
дополнительные компоненты, которые могут использоваться при необходимости.
Настройка параметров проверки протокола
прикладного уровня
Если для протокола прикладного уровня предусмотрена проверка, то пакетам этого
протокола разрешается выходить за пределы брандмауэра, но проходить вовнутрь че-
через брандмауэр им позволяется только в рамках уже существующего сеанса. Каждый
пакет соответствующего протокола проверяется, чтобы получить информацию о со-
состоянии сеанса и выяснить, принадлежит ли пакет открытому сеансу.
При настройке параметров проверки протокола прикладного уровня придерживай-
придерживайтесь следующих рекомендаций.
• Используйте команды глобальной конфигурации.
• Настройте параметры проверки СВАС для протокола прикладного уровня
(кроме RPC и Java).
• Если необходимо, то с помощью опции timeout укажите значения времени
ожидания, которые должны использоваться вместо соответствующих величин
TCP и UDP.
Чтобы настроить параметры проверки СВАС для протокола прикладного уровня,
используйте следующие команды в режиме глобальной конфигурации.
ip inspect паше имя-набора протокол [timeout секунды]
ip inspect паше имя-набора грс program-number число [wait-time минуты] [timeout
секунды]
С помощью команды ip inspect name имя-набора протокол [timeout секунды] на-
настраиваются параметры проверки СВАС для протокола прикладного уровня (за ис-
исключением RPC и Java). Для параметра протокол используйте одно из ключевых слов,
приведенных в табл. 8.3. Примените эту команду в соответствующей форме для каж-
каждого из протоколов. Чтобы при этом создать одно правило проверки, во всех командах
используйте одно и то же имя-набора.
Посредством второй команды ip inspect паше имя-набора грс program-number число
[wait-time минуты] [timeout секунды] активизируется проверка СВАС для протокола
RPC. Чтобы задать параметры для нескольких программ RPC, используйте эту коман-
Глава 8. Настройка Cisco IOS Firewall 285

ду несколько раз с разными номерами программ. Чтобы при этом создать одно пра-
правило проверки, во всех командах используйте одно и то же имя-набора.
Протокол
Ключевое слово
Протоколы транспортного уровня:
TCP tcp
UDP udp
Протоколы прикладного уровня:
CU-SeeMe cuseeme
Команды и ответы FTP f tp-cmd
Маркеры FTP (позволяют отслеживать и анализировать маркеры FTP) ftp-tokens
Н.323 h323
HTTP (аплеты Java) http
Microsoft NetShow netshow
Команды г UNIX (rlogin, rexec, rsh) rcmd
RealAudio realaudio
RPC rpc
SMTP smtp
SQL'Net sqlnet
StreamWorks Streamworks
TFTP tftp
VDOLive vdolive
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя-набора
протокол
timeout секунды
java-list список-
доступа
rpc program-
number число
wait-time минуты
Задает имя набора правил проверки. Если необходимо добавить протокол к уже су-
существующему набору правил, используйте значение параметра имя-набора, соответ-
соответствующее имени этого набора
Определяет протокол с помощью одного из ключевых слов, указанных в табл. 8.3
(необязательный) Определяет новые пороговые значения времени для TCP или UDP,
отменяя соответствующие пороговые значения, принятые по умолчанию
(необязательный) Указывает список доступа (имя или его номер), определяющий
"дружественные" узлы. Используется только с протоколом HTTP для блокирования ап-
летов Java и работает только со стандартными списками доступа
Указывает номер программы. Применяется только с протоколом RPC
(необязательный) Задает время в минутах, в течение которого брандмауэр позволяет по-
повторно устанавливать соединения из того же источника к тому же адресату и порту назначе-
назначения. По умолчанию значение wait-time равно 0. Используется только с протоколом RPC
286
Часть III. Защита межсетевых соединений

Замечание
Чтобы проверка СВАС работала с трафиком NetMeeting 2.x (прикладной протокол Н.323),
настройте параметры проверки для TCP так, как предлагается ниже в разделе "Настройка
параметров проверки для TCP и UDP". Это необходимо, поскольку NetMeeting 2.x исполь-
использует дополнительный TCP-канал, не определенный спецификациями Н.323.
Настройка параметров проверки Java
Проверка Java имеет свои особенности. При использовании Java необходимо га-
гарантировать защиту от случайной загрузки в сеть разрушительных аплетов пользова-
пользователями. Можно использовать средства СВАС для фильтрации аплетов Java в бранд-
брандмауэре, что позволит пользователям загружать только аплеты из брандмауэра или
только из надежных внешних источников.
Проверка Java означает фильтрацию аплетов в брандмауэре. При фильтрации различа-
различаются надежные и ненадежные аплеты в соответствии со списком, в котором вы должны
указать "дружественные" узлы. Если аплет прибывает с дружественного узла, брандмауэр
пропускает его, в противном случае он отвергает его. Как вариант, можно пропускать все
аплеты, кроме тех, которые прибыли с узлов, обозначенных как "враждебные".
Внимание!
Система СВАС не может обнаружить и блокировать инкапсулированные аплеты Java. По-
Поэтому аплеты, вложенные в файлы типа .zip или .jar, в брандмауэре не задерживаются.
Точно так же средства СВАС не обнаруживают аплеты, загружаемые в рамках FTP, gopher
или HTTP с нестандартными портами и другими нестандартными конфигурациями.
Для того чтобы блокировать все аплеты Java (кроме тех, которые прибывают с
дружественных узлов), выполните следующие действия.
Шаг 1. Создайте стандартный список доступа (который разрешает только трафик с
дружественных узлов), применив следующие команды,
ip access-list standard имя
permit...
deny... (используйте подходящие операторы)
или
access-list иоиер-списка-доступа {deny | permit} источник [групповон-адрес-
нсточннка]
Вот пример стандартного списка доступа, разрешающего доступ только узлам
трех указанных сетей.
access-list I permit 192.5.34.0 0.0.0.255
access-list 1 permit 128.88.0.0 0.0.255.255
access-list 1 permit 36.0.0.0 0.255.255.255
! (Комментарий: все другие соединения неявно запрещены)
Биты группового адреса применяются к частям сетевого адреса хоста. Любой
источник, адрес которого не соответствует списку доступа, будет отвергнут.
Чтобы все внутренние пользователи могли загружать дружественные аплеты,
используйте для адресата ключевое слово any, но будьте внимательны, чтобы
случайно не открыть путь для всех аплетов.
Глава 8. Настройка Cisco IOS Firewall 287

Шаг 2. Блокируйте все аплеты Java, кроме тех, которые прибывают с дружественных уз-
узлов, определенных в списке доступа. Для этого используйте следующую команду,
ip inspect name имя-набора [http java-list список-доступа] [timeout секунды]
Средства блокирования Java работают только со стандартными списками дос-
доступа. Используйте то же значение параметра имя-набора с другими протокола-
протоколами, чтобы в результате создать одно правило проверки.
Настройка параметров проверки TCP и UDP
Параметры проверки TCP и UDP можно настроить так, чтобы пакеты TCP и UDP
входили во внутреннюю сеть через брандмауэр, даже если протокол прикладного
уровня не настроен на их проверку. При проверке TCP и UDP не распознаются спе-
специальные команды приложений и если номера портов в пакетах будут различаться, то
приложение получит не все возвращающиеся пакеты.
Любой протокол прикладного уровня при проверке имеет более высокий приори-
приоритет, чем пакеты TCP или UDP. Например, в условиях проверки FTP вся информация
канала управления записывается в таблицу состояния. Весь трафик FTP через бранд-
брандмауэр пропускается назад, если информация канала управления соответствует состоя-
состоянию данного сеанса FTP. При этом настройка средств проверки TCP никак не влияет
на информацию о состоянии FTP.
При проверке TCP и UDP параметры входящих в сеть пакетов должны точно со-
соответствовать параметрам пакетов, ранее отправленных из сети. Входящие пакеты
должны иметь адреса и номера портов источника/адресата, обратные по отношению к
исходящим, иначе система СВАС блокирует их. СВАС отвергает также все пакеты
TCP, порядковые номера которых выходят за рамки определенного окна.
При проверке UDP ответы пропускаются назад через брандмауэр только в течение
указанного конфигурацией времени (после отправки последнего запроса). Соответст-
Соответствующее значение задается командой ip inspect name udp idle-timeout.
Команды настройки параметров проверки СВАС для пакетов TCP и UDP имеют
следующий синтаксис.
ip inspect name имя-набора tcp [timeout секунды]
ip inspect name имя-иабора udp [timeout секунды]
Чтобы в результате создать одно правило проверки, используйте одно и то же зна-
значение параметра имя-иабора со всеми протоколами.
Шаг 5. Применение правила проверки
к интерфейсу
При настройке параметров СВАС на внешнем интерфейсе примените правило провер-
проверки к исходящему трафику, указав ключевое слою out. При настройке параметров СВАС
на внутреннем интерфейсе примените правило проверки к входящему трафику, указав
ключевое слово in. Параметр имя-иабора задает имя набора правил проверки, который сле-
следует применить. Это позволяет администратору создать любое число уникальных правил
проверки для каждого интерфейса и легко распознавать их в файле конфигурации.
Чтобы применить правило проверки к интерфейсу, используйте следующую ко-
команду конфигурации интерфейса.
ip inspect имя-иабора {in | out}
288 Часть III. Защита межсетевых соединений

В примере 8.1 набор правил проверки, именуемый outboundrules, применяется к
исходящему трафику внешнего интерфейса. При этом входящий трафик IP будет раз-
разрешен только в рамках уже установленных сеансов, а весь остальной входящий тра-
трафик IP будет запрещен.
Пример 8.1. Применение набора правил проверки к исходящему трафику
Penmeterx(config)j| ip inspect outboundrules out
Perimeterxfconfig if)} interface serialO ip inspect outboundrules out
Первой представлена команда глобальной конфигурации, определяющая использо-
использование указанного правила проверки. Вторая команда применяет указанное правило к
интерфейсу.
Шаг 6. Тестирование и контроль СВАС
Команды ip inspect audit trail и debug предлагают средства мониторинга и тес-
тестирования конфигурации СВАС. В этом разделе представлены команды, отображаю-
отображающие информацию о чаще всего встречающихся проблемах.
Мониторинг СВАС
Чтобы упростить процесс отладки СВАС, можно включить режим создания сооб-
сообщений аудита, которые будут отображаться на экране консоли по завершении каждого
сеанса СВАС. В примере 8.2 показана команда глобальной конфигурации, активизи-
активизирующая создание сообщений аудита.
Perimeterx(config)f ip inspect audit trail
Параметры информации аудита можно настроить для каждого приложения в от-
отдельности с помощью правил проверки СВАС.
Отладка СВАС
Для отображения информации о событиях СВАС используется команда debug ip
inspect режима EXEC. При использовании этой команды с префиксом по вывод от-
отладочных данных отменяется. Для отладки СВАС используют три категории команд
debug: общие, команды транспортного уровня и команды прикладного протокола.
Синтаксис команды debug ip inspect следующий.
debug ip inspect {function-trace | object-creation | object-deletion |
events | timers | протокол | detail}
debug ip inspect detail
Описания параметров команды debug представлены в следующей таблице.
С помощью соответствующей команды с префиксом по можно выключить отобра-
отображение информации отладки для каждой из команд, рассмотренных в данном разделе.
Чтобы отключить все сообщения отладки, используйте команду привилегированного
режима EXEC no debug all или undebug all.
Глава 8. Настройка Cisco IOS Firewall 289

Параметр команды Описание
function-trace Отображает сообщения о программных функциях, вызываемых системой СВАС
object-creation Отображает сообщения о программных объектах, создаваемых системой СВАС.
Создание объекта соответствует началу сеанса проверки СВАС
object-deletion Отображает сообщения о программных объектах, удаляемых системой СВАС.
Удаление объекта соответствует завершению сеанса проверки СВАС
events Отображает сообщения о программных событиях СВАС, включая информацию,
касающуюся обработки пакетов
timers Отображает сообщения о событиях таймера СВАС (например, о том, что достиг-
достигнуто пороговое значение времени ожидания)
протокол Отображает сообщения о событиях протокола, проверяемого системой СВАС,
включая информацию о пакетах протокола. Ключевые слова для параметра про-
протокол описаны в табл. 8.3
detail Активизирует подробный вывод, который может использоваться в комбинации с
другими параметрами для получения дополнительной информации
Управление Cisco IOS Firewall
Существует два метода администрирования Cisco IOS Firewall: через интерфейс
командной строки (CLI) и с помощью ConfigMaker.
Управление с командной строки
Возможность управления сетевыми продуктами Cisco с командной строки существова-
существовала с момента их появления. Давайте рассмотрим преимущества такого метода управления.
• Этот метод предоставляет администратору очень широкие возможности.
• В соответствующую версию IOS включены команды для управления всеми па-
параметрами устройства.
• Переменные конфигурации позволяют настроить таймеры и счетчики с учетом
всех особенностей сети предприятия.
Недостатки использования командной строки заключаются в следующем.
• Ввиду сложности и большого числа команд их трудно запомнить.
• Число команд растет с появлением каждой новой версии программного обеспе-
обеспечения IOS.
Применение интерфейса командной строки приемлемо для предприятий, имею-
имеющих достаточно квалифицированный и опытный персонал, способный эффективно
использовать все возможности и преимущества такого способа управления.
Возможности ConfigMaker
В последние годы в связи с увеличением ассортимента сетевых продуктов и ростом
их популярности среди предприятий малого и среднего бизнеса специалисты Cisco
осознали необходимость создания средств настройки параметров конфигурации для
290 Часть III. Защита межсетевых соединений

сетей таких предприятий. На рис. 8.5 показан интерфейс предложенной ими про-
программы ConfigMaker, с помощью которой администратор сети может в результате по-
пошагового процесса создать нужную конфигурацию.
ConfigMaker имеет следующие преимущества.
• Графический пользовательский интерфейс.
• Знакомая оконная среда с диалоговыми окнами поддержки.
• Набор программ-мастеров, руководящих процессом создания конфигурации.
Недостатки ConfigMaker состоят в следующем.
• Ограниченные возможности управления устройством.
• Ограниченный набор параметров конфигурации.
ConfigMaker соответствует запросам предприятий малого и среднего бизнеса, по-
поскольку минимизирует усилия, необходимые для администрирования. В последние
версии продукта добавлены поддержка NAT, DHCP и CSU/DSU, а также ряд хорошо
интегрированных мастеров.
к а К* />-| и..* « *¦¦* а Я,
Рис. Л 5. Интерфейс ConfigMaker
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Cisco IOS Firewall дает возможность обнаружить атаки нарушителей и защи-
защититься от них посредством фильтрации на уровне приложений и генерирования
информирующих сообщений в реальном масштабе времени.
• Одним из главных средств защиты Cisco IOS Firewall является система СВАС,
которая может обеспечить контроль доступа на уровне приложений для всего
трафика периметра между частной сетью предприятия и Internet.
Глава 8. Настройка Cisco IOS Firewall
291

• Еще одним важным средством защиты Cisco IOS Firewall является система об-
обнаружения вторжений, которая может в реальном масштабе времени осуществ-
осуществлять мониторинг сети, чтобы посредством имеющейся информации о типичных
сетевых атаках и сигнатурах вторжений вовремя обнаружить и пресечь попытки
злоупотребления сетевыми ресурсами.
. • Подготовка к настройке Cisco IOS Firewall включает выбор подходящего серве-
сервера защиты, определение типа и места применения списков доступа, принятие
решения об использовании СВАС, NAT, TCP-перехвата, а также шифрования.
• В процессе настройки СВАС следует выбрать интерфейс, в рамках которого бу-
будут использоваться средства СВАС, применить к этому интерфейсу списки дос-
доступа IP, определить глобальные пороговые значения, выбрать правила проверки
и применить их к интерфейсу, а также выполнить тестирование средств СВАС,
чтобы убедиться в правильности их работы.
• Для отображения информации о событиях СВАС, тестирования и контроля
конфигурации можно использовать разнообразные варианты команды ip
inspect debug.
• Чтобы упростить процесс отладки СВАС, рекомендуется активизировать вывод
сообщений аудита, которые будут отображаться на экране консоли по заверше-
завершении каждого сеанса СВАС.
• Cisco предлагает два мощных средства управления брандмауэром Cisco IOS
Firewall: интерфейс командной строки и программу ConfigMaker.
Практическое занятие. Настройка
Cisco IOS Firewall
Задачей этого практического занятия является демонстрация возможностей на-
настройки брандмауэра Cisco IOS Firewall. Прочитайте план практического занятия,
изучите схему топологии сети и рассмотрите предложенную политику защиты. Затем
проанализируйте пример конфигурации, чтобы понять, как элементы политики защи-
защиты реализуются в брандмауэре Cisco IOS Firewall.
План практического занятия
Компания XYZ реализовала все стандартные возможности защиты программного
обеспечения IOS. Однако ее сеть стала объектом внешних атак с применением мо-
мобильного кода в виде аплета Java и атак блокирования сервиса. Чтобы не допустить
таких атак в будущем, необходимо настроить фильтр прикладного уровня и систему
предупреждения об опасности, работающую в реальном масштабе времени. Компания
предпочитает обеспечить более сильную защиту без дополнительных аппаратных
средств, поэтому было принято решение использовать брандмауэр Cisco IOS Firewall.
Главным средством защиты этого брандмауэра является система СВАС. Компания
XYZ собирается установить средства СВАС в маршрутизаторах периметра.
На рис. 8.6 представлена инфраструктура территориальной сети компании XYZ,
которая обсуждается в данной главе.
292 Часть III. Защита межсетевых соединений

Средства СВАС
в маршрутизаторе периметра
Маршрутизатор
периметра R1
Удаленное
подразделение
Web- Обозре- Сервер
сервер ватель сертифи-
Internet Web кации
"Грязная"
ДМЗ
Бастион- Бастион- Сенсор
ный ный CSIDS
хост хост
"Защищенная"
ДМЗ
Бастион- Бастион-
Бастионный ный
хост хост
Удаленный
клиент fl0CTyna R2
Сервер NT:
сервер CiscoSecure,
Web, FTP, TFTP, Syslog
Сервер Сервер Директор
SMTP DNS CS IDS
Сканер
CS
Рис. 8.6. Cisco IOS Firewall в инфраструктуре сети предприятия
Компания желает настроить средства СВАС в маршрутизаторах периметра, чтобы
обеспечить лучшую защиту. Эти маршрутизаторы являются конечными точками шиф-
шифрования IPSec, и это оказывается важным ввиду того, что средства СВАС не могут ра-
работать с IPSec в маршрутизаторах, не являющихся конечными точками IPSec.
Топология
На рис. 8.7 показана часть сети компании XYZ, конфигурация которой будет рас-
рассмотрена в ходе практического занятия.
Политика сетевой защиты
Политика сетевой защиты, которую намерена реализовать компания XYZ, заклю-
заключается в следующем.
• Выход в Internet может свободно использоваться служащими компании XYZ в
целях, соответствующих задачам компании. Удаленные пользователи тоже мо-
могут получать выход в Internet.
Глава 8. Настройка Cisco IOS Firewall
293

172.16.1.1/30
.2
Сервер NT:
FTP, HTTP, служба
сертификации
192.168.255.2/24
Брандмауэр PIX
Внутренний .3
192.168.1.0/24 Трязная-
ДМЗ
Бастионный
хост:
серверWeb
сервер FTP
"Защищенная"
•дмз
.1ДМЗ
10.1.1.0/24
Удаленный доступ
сети сбыта
Сервер NT 1:
CiscoSecure NT, информационный
Internet-сервер FTP и Web,
диспетчер защиты Cisco, серверы
Syslog и TFTP
Рис. 8.7. Брандмауэр Cisco IOS Firewall в сети компании XYZ
• Система брандмауэра, состоящая, как минимум, из маршрутизатора периметра
и бастионного узла, должна использоваться для того, чтобы запретить несанк-
несанкционированный доступ из Internet к узлам территориальной сети и удаленным
подразделениям.
• Доступ из Internet к узлам территориальной сети и удаленным подразделениям
должен быть строго ограничен, если для пересылки данных через Internet не
используется шифрование сетевого уровня. Кроме того, должен быть ограничен
также входящий трафик к бастионному узлу (электронная почта, HTTP и FTP).
Пример конфигурации Cisco IOS Firewall
В примере 8.3 представлены команды конфигурации, с помощью которых маршрутиза-
маршрутизатор периметра настраивается на выполнение функций брандмауэра Cisco IOS Firewall.
Пр1мер 8.3. Конфигураций маршрутизатора для выполнения функций
Cisco IOS Firewall
Current configuration:
!
version 12.0
service timestamps debug datetime msec localtime show timezone
service timestamps log datetime msec localtime show timezone
no service password encryption
294
Часть III. Защита межсетевых соединений

hostname Perimeterl
logging buffered 4096 debugging
no logging console
username student password 0 cisco
memory-size iomem 25
clock timezone PST -8
clock summer-time zone recurring
ip subnet-zero
no ip source-route
no ip finger
ip tcp selective-ack
ip tcp path-mtu-discovery
no ip domain lookup
no ip bootp server
ip inspect audit-trail
ip inspect max-incomplete low 800
ip inspect max-incomplete high 1000
ip inspect one-minute high 600
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 50 block-time 1
ip inspect name mcns rpc program-number 100003 wait-time 2 timeout 5
ip inspect name mcns rcmd timeout 10
ip inspect name mcns cuseeme timeout 10
ip inspect name mcns smtp timeout 45
ip inspect name mcns tftp timeout 10
ip inspect name mcns http java-list 16 timeout 60
ip inspect name mcns tcp
ip inspect name mcns udp
interface SerialO
ip address 172.16.1.1 255.255.255.252
ip access group 101 in
no ip redirects
no ip unreachables
no ip directed-broadcast
encapsulation frame-relay
no ip route-cache
no ip mroute-cache
frame-relay lmi-type cisco
!
interface Seriall
no ip address
Глава 8. Настройка Cisco IOS Firewall 295

no ip directed-broadcast
shutdown
!
interface FastEthernetO
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
no ip redirects
no ip unreachables
no ip directed broadcast
no ip proxy-arp
ip inspect mcns in
no ip route-cache
no ip mroute-cache
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.2
no ip http server
!
logging trap debugging
logging source-interface FastEthernetO
logging 192.168.1.10
access-list 1 permit 192.168.1.10
access-list 16 permit 192.168.255.2
access-list 16 deny any log
access-list 101 deny ip 127.0.0.0 0.255.255.255 any log
access-list 101 deny ip 255.0.0.0 0.255.255.255 any log
access-list 101 deny ip 224.0.0.0 7.255.255.255 any log
access-list 101 deny ip host 0.0.0.0 any log
access-list 101 deny ip 192.168.1.0 0.0.0.255 any log
access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
access-list 101 deny udp any any eq snmp
access-list 101 permit tcp any host 192.168.1.4 eq smtp
access-list 101 permit tcp any host 192.168.1.3 eq www
access-list 101 permit tcp any host 192.168.1.3 eq 443
access-list 101 permit tcp any host 192.168.1.3 eq ftp
access-list 101 permit tcp any host 192.168.1.3 gt 1023
access-list 101 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 101 permit icmp any host 172.16.1.1 echo-reply
access-list 101 permit icmp host 192.168.255.2 host 172.16.1.1 echo
access-list 101 permit udp any host 192.168.1.3 eq domain
access-list 101 permit tcp host 192.168.255.2 host 192.168.1.3 eq nntp
access-list 101 permit udp host 192.168.255.2 host 192.168.1.3 eq ntp
access-list 101 deny icmp any host 192.168.1.1 echo log
access-list 101 deny tcp any host 192.168.1.1 eq telnet log
access-list 101 deny tcp any host 172.16.1.1 eq telnet log
access-list 101 deny tcp any host 192.168.1.2 eq telnet log
access-list 101 deny ip any any log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
296 Часть III. Защита межсетевых соединений

access-list 102 deny ip any any log
no cdp run
!
line console 0
exec-timeout 0 0
logging synchronous
login local
transport input none
line aux 0
no exec
login local
line vty 0 4
access-class 1 in
login local
!
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых моментов и
понятий, рассмотренных в этой главе.
1. Какие четыре возможности защиты предлагает система СВАС?
2. Из каких шагов состоит процесс настройки СВАС?
3. Какую команду следует применить для проверки пакетов протокола прикладного
уровня?
4. Может ли система СВАС проверять IP-трафик протоколов TCP, UDP и ICMP?
5. Какая команда активизирует отображение сообщений аудита на экране консоли
по завершении каждого сеанса СВАС?
6. Могут ли средства СВАС блокировать опасные аплеты Java в файлах формата jar?
7. Являются ли правила проверки обязательным компонентом СВАС?
8. С помощью какой команды задается число (например, 250) полуоткрытых сеан-
сеансов, по достижении которого система СВАС должна начать их удаление?
9. Какие три категории команд debug применяют для отладки СВАС?
10. Если средства СВАС используются в брандмауэре, размещенном между двумя
маршрутизаторами, то сможет ли система СВАС проверять пакеты IPSec?
Ссылки
В этой главе описывается процесс выбора конфигурации, реализующей политику
защиты с помощью средств Cisco IOS Firewall. Чтобы уточнить синтаксис соответст-
соответствующих команд, обратитесь к документации той версии Cisco IOS, которую вы ис-
используете. В частности, ознакомьтесь с руководствами Security Configuration Guide и
Security Command Reference соответствующей версии Cisco IOS.
Глава 8. Настройка Cisco IOS Firewall 297

Следующие ссылки помогут пополнить ваши знания о брандмауэрах Cisco IOS
Firewall и о политике защиты вообще.
Настройка брандмауэров
Домашняя страница группы CERT (www.cert.org) содержит практические примеры,
иллюстрирующие возможности реализации защиты. Там же, среди прочей полезной
информации, публикуются предупреждения об опасности и предлагаются файлы, ре-
решающие проблемы защиты от известных типов атак.
На Web-странице FAQS Organization (www.faqs.org/faqs/flrewalls-faq) предлагается
брандмауэр и соответствующие списки часто задаваемых вопросов с ответами.
Белая книга Cisco "Building a Perimeter Security Solution" (построение системы за-
защиты периметра сети) содержит подробный технический обзор конкретных возмож-
возможностей, предлагаемых брандмауэром Cisco IOS Firewall (ранее именуемым CiscoSecure
Integrated Software). Там же имеются и примеры конфигурации. Размещается по адре-
адресу: www. Cisco. com/warp/public/cc/pd/iosw/ioft/iofwft/tech/firew_wp.htm.
RFC 2196. "The Site Security Procedures Handbook" (справочник по процедурам за-
защиты) предлагает информацию о политиках защиты и процедурах аутентификации.
Доступен по адресу: ds.internic.net/rfc/rfc2196.txt.
Настройка Cisco IOS Firewall
Security Command Reference, Cisco IOS Release 12.0, October 1998.
Security Configuration Guide, Cisco IOS Release 12.0, October 1998.
Более подробная информация о возможностях Cisco IOS Firewall и ConfigMaker (с
комментариями и руководством пользователя) содержится в документации соответст-
соответствующих продуктов на компакт-диске Cisco Product Documentation CD-ROM и на
Web-узле www.cisco.com.
298 Часть III. Защита межсетевых соединений

"fill

Часть
IV
Настройка CiscoSecure PIX
lewall
Глава 9. Возможности PIX Firewall
Глава ШёНасйи>йка доступа через PIX Firewall
Ь
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall
же дополнительных возможностей PIX Firewall
Глава%2Жспс

iосновные
Изучив материал этой гл
• Описать возм
• Настроить P^^KISwall дляйработы с маршрутизатором Cisco.
• Насгроит^Нства
прията|11ш|регпе1.
Прсщеритврравильнос|§ выполненшй&йсЖных функций PlX^ Firewall.
wall длдаработы с мар
Шт мм
PIXTirewall, обесп^
вающие защиту,доступа к сети пред-
вери-р|: корректно
эрандматара, используя,
специальные
-возможности управл§м^№редлагаемые п^фаммны14|С*«спече"щ[ш PIX.
Ь

Глава
9
Возможности PIX Firewall
' *В этой главе представлены основные функциональные возможности и возможно-
возможности настройки брандмауэра CiscoSecure PIX Firewall (PIX Firewall), а также обсужда-
обсуждаются ооор&Цности архитектуры и задачи конфигурации, связанные с подготовкой
5rewall, используемых в сети.
аны подходящие стратегии реализации различных возможностей за-
ывается, каким образом они усиливают защиту сети. Ваше пони-
1боты PIX Firewall станет более ясным после того, как вы прочтете
^священные этому вопросу.
1ется широкий спектр вопросов, включая принципы защиты,
эрмендации по созданию конфигурации. В ходе практического за-
реальным сценарием настройки PIX Firewall, в результате при-
1уэр начинает функционировать с базовым набором команд.
синтаксис команд
1,нятия в^Щзнаком
ого б]
Что такое PIX Firewall
ernet Exchange Firewall — брандмауэр для закрытого обмена
брандмауэр, обеспечивающий надежную защиту корпора-
контроля состояния соединений и демонстрирующий вы-
Он предлагает широкие возможности защиты, полностью
нжгренней сети от внешнего наблюдателя. Брандмауэр PIX
"* граничник" между корпоративной сетью и Internet, выпол-
архите
действует
няя функции кон
фхрана корц^ййивврй сети от вторжений должна осуществляться непрерывно,
вной сети должны использовать средства, гарантирующие
динений с Internet. Это вполне по силам брандмауэру PIX
FirewaHijSeKOTopife5SeeTeBbie инженеры вместо специализированных устройств-
брарШауэров пришщяют в своих сетях решения, основанные на использовании соот-
:|сгвующих фщЩиональных возможностей маршрутизаторов. После обновления
программного ;дб€>спечения (а иногда и аппаратных элементов) маршрутизаторы дей-
^тельно *югу1рвыполнять функции брандмауэра. Такое решение оправдывают тем,
спещЯш^ШЬванные брандмауэры слишком дороги и их сложно устанавливать.
Но м^щрутизэторы предназначены для обработки информации о маршрутах пакетов,
выйолнения функций брандмауэра, контролирующего соединения. Поэтому
|зможн|эстей маршрутизатора для построения системы обнаружения вторжений, ра-
работающий в реальном масштабе времени, часто оказывается недостаточно.

Достаточно сложные маршрутизаторы могут выполнять некоторые функции
брандмауэра с помощью списков доступа, фильтров и "хитроумных" настроек кон-
конфигурации. На первых порах это может оказаться достаточно эффективным, но такое
решение требует больших усилий с точки зрения управления и имеет ограниченные
возможности масштабирования.
Компании, применяющие средства защиты на основе маршрутизаторов, отмечают
их эффективность против "случайных хакеров", но по мере развития технологий ха-
хакеры стали более искушенными, начали читать техническую литературу и быстро рас-
распространять новую информацию через электронную почту, Web-узлы и "комнаты
общения" (chat room). Для многих экспертов сетевой защиты стало правилом регу-
регулярно посещать Web-узлы известных групп хакеров, чтобы быть в курсе самых по-
последних событий в области развития средств сетевых вторжений.
Недавно международное сообщество хакеров продемонстрировало способность органи-
организовывать распределенные атаки блокирования сервиса с помощью сотен ничего не подоз-
подозревающих соучастников. После выбора цели эти распределенные атаки могут проводиться
24 часа в сутки в автоматическом режиме с сотен совершенно разных машин.
Ознакомившись с тем, на что способны современные хакеры, вы поймете, что
брандмауэр является совершенно необходимым элементом любой сети. Брандмауэр
PIX Firewall имеет следующие особенности.
• PIX Firewall применяет фильтр, учитывающий подробную информацию о пакетах
данных, представленную в виде таблицы. Чтобы сеанс был разрешен, информация
о соединении должна соответствовать информации, хранящейся в таблице.
• Техника "захвата сеанса" IP известна со средины 80-х годов. По сути, для фальси-
фальсификации IP-адреса требуется "угадать" порядковый номер TCP-пакета. В большин-
большинстве реализаций TCP/IP используется простой аддитивный алгоритм приращения
порядковых номеров, поэтому для нарушителя не составляет труда угадать следую-
следующий номер пакета в рамках соединения (даже имея всего один перехваченный па-
пакет), чтобы с этого момента захватить связь. Брандмауэры Cisco серии PIX Firewall,
если не исключают, то сильно затрудняют возможность угадывания порядковых
номеров TCP, генерируя их с помощью специального алгоритма рандомизации.
• PIX Firewall работает под управлением встроенной защищенной операционной
системы реального времени, не зависящей от проблем защиты UNIX или
Windows NT. Операционная система PIX Firewall специально была усилена с
точки зрения защиты от сетевых атак. Она и разрабатывалась с целью защиты.
• Алгоритм ASA (Adaptive Security Algorithm — адаптивный алгоритм защиты)
брандмауэра PIX Firewall и сервис сквозного посредничества (cut-through proxy)
дают брандмауэру возможность демонстрировать прекрасную производитель-
производительность, допуская более 256000 одновременно открытых соединений (для PIX 520
с 128 Мбайт RAM). Такие возможности не предлагает ни один из брандмауэров
на базе UNIX или Windows NT.
• PIX Firewall использует процессор Pentium производства Intel, что обеспечивает
низкую стоимость брандмауэра.
Брандмауэр PIX Firewall предлагает следующие возможности защиты.
• Входящие соединения (т.е. соединения через Internet) запрещаются, если они не ау-
тентифицированы с помощью специальной процедуры или специально не разре-
разрешены. (Методы доступа и аутентификации обсуждаются в следующем разделе.)
304 Часть IV. Настройка CiscoSecure PIX Firewall

• Модель защиты PIX Firewall является двухъярусной (когда это возможно); она
использует маршрутизатор периметра, ДМЗ для общедоступных серверов,
брандмауэр PIX Firewall и маршрутизатор внутренней сети.
• PIX Firewall использует защищенные каналы для входящих/исходящих статиче-
статических трансляций.
• Исходящие соединения (соединения, устанавливаемые изнутри защищенной
сети) при наличии списков глобальных адресов разрешаются, если только они
не запрещены специально.
Возможности и функционирование PIX Firewall
PIX Firewall предлагает огромные возможности защиты, что делает его одним из
лучших средств сетевой защиты, доступных на рынке сегодня. При использовании с
маршрутизатором периметра, брандмауэр PIX Firewall создает практически непри-
неприступный барьер между частной сетью и внешним миром.
При разработке плана защиты сети вначале нужно выяснить, в какой защите нуж-
нуждается сеть. После того как в результате тщательного анализа вы определите, что
именно необходимо получить от брандмауэра, можно приступить к выбору модели
PIX Firewall, которая лучше всего будет отвечать вашим потребностям. Рекомендуемая
конфигурация предполагает использование маршрутизатора Cisco в качестве первой
линии защиты, за которой располагается брандмауэр PIX Firewall. Прохождение пер-
первой линии защиты означает, что нарушителю удалось обмануть списки доступа и пра-
правила аутентификации маршрутов, определенные сетевым администратором. И если
нарушитель окажется достаточно опытным, для того чтобы обойти эти средства защи-
защиты, ему придется еще состязаться с брандмауэром PIX Firewall.
Движение через PIX Firewall извне
Рассмотрим "абсолютно надежный" брандмауэр, не позволяющий движение через
него вообще — ни изнутри, ни снаружи. Не слишком подходящее решение, не так
ли? Чтобы брандмауэр оказался полезным, он должен предлагать защищенный и
удобный способ управления трафиком пользователя.
Брандмауэр PIX Firewall имеет высокий потенциал управления трафиком. Разре-
Разрешение входящего доступа через PIX Firewall — это не просто создание в нем прохода,
допускающего свободное движение пакетов внутрь и наружу. Необходимо предпри-
предпринять шаги, гарантирующие движение между общедоступными и частными сегментами
сети только для авторизованного потока данных.
При разработке PIX Firewall ставилась задача разрешить только следующие три ва-
варианта прохождения трафика через брандмауэр.
• С помощью алгоритма ASA анализируется весь трафик через PIX Firewall и
поддерживается база данных, содержащая информацию о состоянии каждого
соединения. Пакеты, не соответствующие записям базы данных состояний ASA,
немедленно отвергаются.
• Сетевой администратор может установить статический туннель или канал, на-
направляющий трафик в обход ASA, чтобы обеспечить портал доступа вне PIX
Firewall.
Глава 9. Возможности PIX Firewall 305

• Сквозная опосредованная аутентификация позволяет идентифицировать поль-
пользователей с помощью средств RADIUS или TACACS+, чтобы они могли иметь
доступ к Internet и другим внешним сетям.
В следующих разделах эти возможности обсуждаются подробнее.
Адаптивный алгоритм защиты (ASA)
Алгоритм ASA (адаптивный алгоритм защиты) является основой функционирования
брандмауэра PIX Firewall. ASA записывает характеристики соединений, сохраняя эту ин-
информацию в таблице и используя ее для проверки исходящих и входящих пакетов, чтобы
убедиться, что "состояние сеанса" остается точно таким же, как и при открытии соедине-
соединения. Пока изменений не обнаруживается, трафик пропускается без задержки. При обна-
обнаружении какого-то несоответствия пересылка данных прекращается.
После запроса соединения алгоритм ASA записывает IP-адреса источника и адресата,
порты источника и порядковые номера TCP, связанные с интерфейсом, по которому при-
приходит запрос. На основе этих данных создается шифрованная подпись, которая использу-
используется брандмауэром РГХ Firewall для того, чтобы распознать соответствующий хост в даль-
дальнейшем. Подпись действительна только в течение времени существования данного соеди-
соединения. После закрытия соединения подпись становится недействительной. При каждом
новом запросе соединения для хоста создается новая подпись.
Нарушителям, чтобы пройти через PIX Firewall и получить доступ к узлу внутрен-
внутренней сети, необходимо имитировать работу ASA и в реальном масштабе времени гене-
генерировать полноценные пакеты (со "случайными" порядковыми номерами TCP, под-
подходящими IP-адресами и номерами портов) в соответствии с записями базы данных
соединений ASA. Это должно оказаться непосильной задачей, чтобы хакер сразу же
отказался от дальнейших попыток проникнуть в вашу сеть и предпочел поискать
другие, более доступные цели.
Чтобы понять принципы работы ASA, представьте себе, что вы покупаете новый
монитор в специализированном магазине. При оформлении покупки продавец фото-
фотографирует вас и заполняет специальный бланк, в котором указывается, когда и где
сделана покупка. Магазин сохраняет эти данные для дальнейшего использования. Ес-
Если вы решите возвратить монитор, служащие отдела возврата извлекут бланк, сравнят
вашу подпись и фотографию и убедятся в том, что покупку сделали именно вы. Если
расхождений не обнаружится, вам вернут деньги.
Преимущества алгоритма ASA
Брандмауэр PIX Firewall имеет много преимуществ по сравнению с другими
брандмауэрами, предлагаемыми сегодня. Главным аргументом в пользу PIX Firewall
является то, что алгоритм ASA обеспечивает полноценную защиту соединений при
сохранении высокой производительности.
Кроме того, ASA имеет следующие преимущества.
• Ни один из пакетов, в которых информация о соединении и состоянии не соответ-
соответствует данным таблицы ASA, не сможет пройти через брандмауэр РГХ Firewall.
• Разрешаются все исходящие соединения и состояния, кроме тех, которые спе-
специально запрещены выходными списками доступа. Исходящим называется со-
соединение или состояние, в котором инициатор или клиент имеет интерфейс с
более высоким уровнем безопасности, чем адресат или сервер. Внутренний ин-
интерфейс всегда имеет наивысший уровень безопасности, а внешний — самый
306 Часть IV. Настройка CiscoSecure PIX Firewall

низкий. Для дополнительных интерфейсов (типа ДМЗ) могут определяться
уровни безопасности между уровнями внутреннего и внешнего интерфейсов.
• Входящие соединения и состояния запрещаются, если только они специально
не разрешены каналами. Входящим называется соединение или состояние, в
котором инициатор или клиент имеет интерфейс с более низким уровнем безо-
безопасности, чем адресат или сервер. Каждая трансляция адресов допускает мно-
множество исключений, что позволяет разрешить доступ с любой машины, из лю-
любой сети или с любого хоста в Internet к хосту, заданному трансляцией.
• Все попытки обойти указанные правила отвергаются, и серверу syslog посылает-
посылается соответствующее сообщение.
• Отвергаются все пакеты ICMP, кроме тех, которые специально разрешены ко-
командой conduit permit icmp.
Действие ASA
Рассмотрим пример, когда брандмауэр PIX Firewall имеет два интерфейса — внут-
внутренний (со стороны защищенной сети) с высшим уровнем безопасности и внешний
(со стороны Internet) с низшим уровнем.
В данном случае брандмауэр PIX Firewall будет также выполнять динамическую
трансляцию сетевых адресов (NAT), отображая частные (внутренние) адреса в зареги-
зарегистрированные (внешние). Внешний адрес должен обеспечиваться пулом доступных
адресов, о котором мы поговорим позже.
Соответствующий процесс состоит из следующих шагов.
1. Подлежащий отправке пакет прибывает к внутреннему (более защищенному) ин-
интерфейсу брандмауэра PIX Firewall. (Правила защиты по умолчанию требуют,
чтобы соединение создавалось только тогда, когда источник имеет более высокий
уровень безопасности, чем адресат. Исключения допускаются только в случаях,
специально описанных командами conduit.)
2. PIX Firewall проверяет адрес получателя и выясняет, не соответствует ли он хосту
вне защищенной сети.
3. Относительно уровня безопасности запрашивающего интерфейса выясняется, яв-
является он ниже или выше уровня безопасности запрашиваемого интерфейса.
4. Запрашивающий интерфейс имеет более высокий уровень безопасности и обра-
обращается к внешнему интерфейсу, который имеет более низкий уровень.
5. На основе сравнения уровней безопасности брандмауэр PIX Firewall заключает,
что соединение разрешено.
6. PIX Firewall проверяет, не следует ли выполнить команды трансляции. Трансля-
Трансляция может быть статической или динамической. При этом выясняется, не указа-
указаны ли специальные маршруты, которых должен придерживаться трафик.
7. PIX Firewall проверяет, не было ли ранее пакетов, пришедших с хоста, запраши-
запрашивающего данное соединение. Если нет, то PIX Firewall записывает информацию о
состоянии сеанса, вычисляет шифрованную подпись, соответствующую исклю-
исключительно данному хосту, и создает сегмент динамической трансляции, с помо-
помощью которого запрашивающей стороне разрешается доступ к внешнему миру.
8. Пакет освобождается от исходного IP-адреса, и ему назначается произвольно выбран-
выбранный адрес из пула глобальных адресов, поддерживаемых брандмауэром. Это делается
Глава 9. Возможности PIX Firewall 307

для того, чтобы брандмауэр мог направлять ответы хосту, отправившему запрос, и для
маскировки структуры внутренней сети. Затем брандмауэр PIX заменяет динамически
присвоенный IP-адрес адресом, зарезервированным для данной организации, и пере-
передает пакет во внешнюю сеть для дальнейшей обработки.
9. После получения транслированного пакета Web-узлом или другим адресатом
Internet и по прибытии его назад к внешнему интерфейсу брандмауэра PIX, пакет
обрабатывается средствами ASA, которые проверяют его допустимость путем
сравнения с данными таблицы состояний сеансов и проверки подписи.
(Устанавливается соответствие адреса источника допустимому внутреннему адре-
адресу, данным таблицы сеанса и т.д.)
10. Если все параметры защиты соответствуют информации, записанной брандмау-
брандмауэром PIX Firewall при выходе пакета из сети, пакет переправляется хосту внут-
внутренней сети, который должен завершить обработку транзакции.
Особенность процесса заключается в том, что он выполняется очень быстро и не-
незаметно для пользователя. Благодаря быстродействию ASA, пользователи не подозре-
подозревают о том, какие сложные преобразования выполняются за кулисами.
Использование каналов и статических карт
для входящего доступа
Создание каналов и статических карт для входящего доступа через PIX Firewall
может потребоваться тогда, когда ресурсы защищенной сети необходимы пользовате-
пользователям внешней сети. Например, рассмотрим использование концентратора VPN во
внутренней защищенной сети. Концентратор VPN является конечной точкой тунне-
туннелей IPSec, создаваемых программным обеспечением клиента VPN, установленным на
ноутбуках мобильных пользователей.
Конфигурация брандмауэра PIX Firewall должна специально разрешить трафик IPSec
от внешней сети к внутренней, поскольку политика защиты брандмауэра по умолчанию
запрещает весь входящий трафик. Для разрешения движения данных IPSec через бранд-
брандмауэр создаются статические карты и каналы. Статическая карта отображает IP-адрес от-
открытого интерфейса концентратора VPN во внешний глобальный IP-адрес. Канал дейст-
действует подобно списку доступа в маршрутизаторе Cisco, фильтруя трафик, разрешенный ста-
статической трансляцией (в данном случае это трафик IPSec).
Избирательное разрешение движения данных VPN через брандмауэр PIX Firewall с
помощью канала позволяет концентратору VPN обрабатывать трафик VPN независи-
независимо от брандмауэра.
Вы можете спросить, зачем использовать концентратор VPN в защищенной части
сети, если его можно разместить за брандмауэром PIX Firewall, обеспечив точно такое
же завершение туннелей VPN? Ответ прост. При размещении в открытой части сети
концентратор VPN открыт для атак, которые в данном случае явно нежелательны.
Размещение концентратора VPN в защищенной сети (его можно разместить в
рамках интерфейса ДМЗ брандмауэра, например интерфейса Ethernet2) позволит за-
защитить его, а его администрирование (в частности, изменение и резервное копирова-
копирование параметров конфигурации) станет значительно проще и безопаснее.
Разрешая указанным образом трафик через брандмауэр PIX Firewall, мы допускаем
потенциальный риск захвата входящего соединения противником. Но грамотная реа-
реализация этой идеи позволяет свести риск к минимуму. При этом средства ASA бранд-
308 Часть IV. Настройка CiscoSecure PIX Firewall

мауэра PIX Firewall обеспечивают полноценную защиту трафика VPN, движущегося
по соответствующему каналу.
Преимущества каналов и статических карт
Статические карты и каналы можно использовать для разрешения специальных
ситуаций, когда требуется прямой доступ извне к ресурсам защищенной сети.
Перед тем как углубиться в обсуждение вопросов входящего доступа, важно по-
понять, что такое статические карты и каналы. Статическая трансляция, как правило,
используется тогда, когда ресурсу защищенной сети назначается постоянный IP-
адрес, чтобы этот ресурс был всегда достижим извне.
Каналы позволяют доступ через брандмауэр PIX Firewall при выполнении опреде-
определенных условий. Типичная команда conduit разрешает доступ при условии совпаде-
совпадения адреса источника, адреса порта и типа протокола с заданными. Команда conduit
"обманывает" средства защиты ASA брандмауэра PIX Firewall, поэтому при использо-
использовании этой команды будьте предельно внимательны.
В обычных условиях брандмауэру PIX Firewall разрешается управлять входящими
соединениями автоматически, но иногда может потребоваться направить трафик по
определенному руслу с целью изменения его структуры, контроля или с какой-то
иной административной целью.
Процесс настройки каналов и статических карт
Брандмауэр PIX Firewall по умолчанию не позволяет внешним хостам связываться
с хостами и серверами внутри частной сети. Команда static, при использовании с
командой conduit, разрешает входящему трафику пройти через брандмауэр PIX
Firewall и достичь защищенных ресурсов. Здесь эти команды описаны кратко; более
подробное их обсуждение содержится в главе 10.
Важно помнить, что перед тем как разрешить входящий доступ, интерфейсам бранд-
брандмауэра PIX Firewall необходимо присвоить значения уровней безопасности (значения за-
защиты). Это делается с помощью команды nameif, которая будет обсуждаться позже в этой
же главе. Любой интерфейс, связанный с сетью за брандмауэром PIX Firewall, имеет более
высокое значение защиты (более безопасен), чем интерфейс, связанный с Internet или
другим сегментом сети вне брандмауэра (менее безопасен).
Логика присваивания значений защиты отражает правила связывания. Обычно интер-
интерфейсам с более низкими значениями защиты запрещается связываться с интерфейсами,
имеющими более высокие значения. Исключения из этого правила определяются коман-
командой conduit, которая отменяет действие алгоритма ASA и разрешает соединение. Процеду-
Процедура определения значений защиты будет рассмотрена в этой же главе позже.
На рис. 9.1 брандмауэр PIX Firewall имеет интерфейс ДМЗ, с которым связан главный
(доступный извне) Web-сервер предприятия. Если главный Web-сервер недоступен, тра-
трафик можно перенаправить (с помощью изменения команд conduit и static) к резервному
Web-серверу на внутреннем интерфейсе, выполнив следующие действия.
Внимание!
В этом примере резервный Web-сервер размещается на внутреннем интерфейсе ис-
исключительно с целью иллюстрации. В реальной среде такая модель не используется.
В сети предприятия лучшим вариантом размещения резервного Web-сервера будет
использование дополнительного интерфейса ДМЗ (например, DMZ2).
Глава 9. Возможности PIX Firewall 309

www.secureweb.web
Маршрутизатор периметра
192.168.1.2
(ДМЗ) 192.168.11.1
Я
Web-сервер
192.168.11.3
(резервный)
Web-сервер
10.1.1.5
Рис. 9.1. Пример применения статических карт и каналов
1. Пользователь вводит имя домена www.secureweb.web в соответствующую строку
броузера Web, которое преобразуется в IP-адрес 192.168.1.11.
2. IP-адресу 192.168.1.11 присваивается низкое значение защиты на внешнем ин-
интерфейсе брандмауэра PIX Firewall.
3. Брандмауэр РГХ Firewall выясняет, что с помощью команды static была задана
трансляция трафика с адресом назначения 192.168.1.11 в частный адрес 192.168.11.3.
Pixfirewall(config)it static (inside,outside) 192.168.1.11 192.168.11.3
4. В случае отказа оборудования указанный оператор static может быть изменен,
чтобы направить трафик к резервному Web-серверу, пока на главном сервере бу-
будут идти восстановительные работы.
Pixfirewall(config)it static (inside,outside) 192.168.1.11 10.1.1.5
5. Брандмауэр РГХ Firewall проверяет значения защиты, присвоенные соответствующим
интерфейсам, и выясняет, что внешний интерфейс имеет меньшее значение защиты,
чем внутренний. В обычных условиях в этот момент попытка соединения отвергается,
если не обнаруживается оператор conduit, разрешающий доступ.
6. Брандмауэр PIX Firewall выясняет, что была создана команда conduit, разрешаю-
разрешающая трафик Web (TCP-порт 80).
Pixfirewall(config)jf conduit permit top host 192.168.1.11 eq 80 any
7. Брандмауэр PIX Firewall определяет, что соединения с IP-адресом 192.168.1.11
(статически отображаемым в адрес Web-сервера) через порт 80 разрешены: они
транслируются и направляются внутреннему Web-серверу по адресу 192.168.11.3.
8. Пользователь получает доступ к Web-серверу, и страница успешно загружается.
Как видно из этого примера, весь процесс достаточно прост и напоминает исполь-
использование списков доступа в обычном маршрутизаторе.
310
Часть IV. Настройка CiscoSecure PIX Firewall

Замечание
В брандмауэре PIX Firewall 5.1.2 вместо команд conduit и static могут использовать-
использоваться списки доступа.
Команда route
Команда route подобна команде static; обе с помощью ряда параметров указыва-
указывают брандмауэру PIX Firewall, куда направить поток данных. Однако на этом их сход-
сходство заканчивается.
Команда static определяет постоянное соответствие между внутренним и внеш-
внешним IP-адресами. Команда route только сообщает брандмауэру PIX Firewall о том, что
для доступа к определенному IP-адресу необходимо использовать указанный шлюз.
Рассмотрим синтаксис команды route.
route имя_интерфейса 1р_адрес маска 1р_шлюза [метрика]
Параметры команды описываются в следующей таблице.
Параметр команды Описание
имя_ннтерфейса Указывает имя сетевого интерфейса
1р_адрес Определяет внутренний или внешний IP-адрес. Используйте 0.0.0.0, чтобы описать
маршрут по умолчанию (значение 0.0.0.0 можно сократить до 0)
каска Определяет сетевую маску для применения к адресу, указанному параметром
ip_anpec. Используйте 0.0.0.0, чтобы описать маршрут по умолчанию (значение
0.0.0.0 можно сократить до 0)
1р_шлюза Определяет IP-адрес маршрутизатора шлюза (адрес следующего транзитного мар-
маршрутизатора для данного маршрута)
метрика Задает число транзитов до шлюза 1р_шлюза. Если оно не известно, укажите значе-
значение 1 (соответствующую информацию можно получить у сетевого администратора
или с помощью команды traceroute). Если этот параметр не определен, по
умолчанию используется значение 1
Если брандмауэр PIX Firewall имеет два интерфейса, необходимо описать маршру-
маршруты по умолчанию для внутреннего и внешнего интерфейсов. Если интерфейсов боль-
больше, укажите один маршрут по умолчанию только для внешнего интерфейса. Это не-
необходимо сделать, потому что брандмауэр PIX Firewall не является маршрутизатором
и не может позволить трафик сверх того, что допускается командами static и route.
Описание маршрута по умолчанию к внешнему интерфейсу гарантирует, что подле-
подлежащие отправке пакеты из внутренней сети будут направляться к внешнему интер-
интерфейсу. В примере 9.1 команда route inside сообщает брандмауэру о том, что весь
трафик, предназначенный для сети 10.1.2.0, должен направляться через транзитный
маршрутизатор 10.1.1.1 со счетчиком транзитов, равным 1. Последнее означает, что
маршрутизатор находится на расстоянии одного перехода (прыжка).
Pixfirewallfconfig)* route inside 18.1.2.0 255.255.255.0 10.1.1.1 1
Pixfirewall(configLt route outside 0 0 192.168.1.2 1
Глава 9. Возможности PIX Firewall
311

Сквозная опосредованная аутентификация
пользователей
Система сквозной опосредованной аутентификации брандмауэра PIX Firewall вы-
выполняет начальную проверку пользователя на уровне приложения (подобно стандарт-
стандартному proxy-серверу), но как только пользователь идентифицирован с помощью серве-
сервера базы данных защиты типа TACACS+ или RADIUS, брандмауэр PIX Firewall начи-
начинает применять другой подход. После аутентификации пользователя и проверки
политики защиты брандмауэр возвращает соединение высокоскоростной системе ASA
на все время сопровождения состояния сеанса TCP/IP (эта система действует на су-
существенно более быстром сетевом уровне).
Замечание
Здесь важно отметить, что после успешной аутентификации пользователь может про-
продолжить аутентифицированный сеанс связи до истечения времени, указанного тайме-
таймером uauth. По истечении времени uauth пользователю придется пройти процедуру
начала сеанса снова. Такая мера предосторожности предусмотрена для того, чтобы
пользователи не оставляли свои рабочие станции в подключенном состоянии без со-
сопровождения.
Использование стандартной аутентификации с помощью proxy-сервера может
замедлять обработку транзакций из-за работы на прикладном уровне. (Стандартный
proxy-сервер перехватывает обращения к часто запрашиваемым Web-страницам,
загружает такие Web-страницы и помещает их в кэш, используя его при обработке
последующих обращений к этим страницам; если запрошенной пользователем стра-
страницы в кэше нет, предпринимается попытка получить страницу путем установки
соответствующего соединения.) Скорость работы на прикладном уровне полностью
зависит от скорости компьютера хоста и ограничивается скоростью процессора.
Система сквозной опосредованной аутентификации пользователя позволяет бранд-
брандмауэру PIX Firewall работать значительно быстрее, чем обычные proxy-серверы, не
ослабляя при этом защиту.
Преимущества сквозной опосредованной аутентификации
Аутентификация пользователей методом сквозного посредничества имеет важные
преимущества, и самое важное из них — это скорость обработки потока данных. По-
После аутентификации пользователя с помощью базы данных TACACS+ или RADIUS,
брандмауэр PIX Firewall может переместить процесс с прикладного уровня на сетевой
(более быстрый). Это значит, что скорость потока возрастет и пользователь защищен-
защищенной сети получит выигрыш в производительности.
Брандмауэр PIX Firewall имеет также возможности, не предлагаемые обычными
proxy-сер верами.
• Брандмауэр PIX Firewall сначала выполняет аутентификацию и авторизацию на
прикладном уровне. По завершении аутентификации поток данных сеанса пе-
передается в распоряжение системы ASA с целью ускорения работы.
• Брандмауэр PIX Firewall может аутентифицировать пользователей с помощью
базы данных сервера защиты TACACS+ или RADIUS. Производители proxy-
серверов постепенно добавляют эту возможность во все новые продукты.
312 Часть IV. Настройка CiscoSecure PIX Firewall

• По завершении аутентификации брандмауэр PIX Firewall переходит в режим
прозрачного для пользователя высокоскоростного сеанса связи.
• Брандмауэр PIX Firewall выполняет аутентификацию как входящих, так и исхо-
исходящих соединений на основе полной информации о их состоянии.
Процедура сквозной опосредованной аутентификации
Рассмотрим реальный пример использования сквозной опосредованной аутенти-
аутентификации. В результате выполнения следующих действий (схематически показанных
на рис. 9.2) поток данных сеанса перемещается на сетевой уровень, продолжая связы-
связывать пользователя и Web-сервер.
1. Пользователь пытается получить доступ к ресурсам защищенной сети.
2. Брандмауэр PIX Firewall перехватывает запрос установки соединения и проверяет
таблицу сеансов ASA, чтобы выяснить, аутентифицирован ли этот пользователь.
Если он уже был аутентифицирован, а время, заданное таймером сеанса, еще не
истекло, пользователю разрешается продолжить сеанс. Если время истекло
(официальным именем таймера сеанса является uauth timer), от пользователя
требуется пройти аутентификацию снова.
3. Брандмауэр PIX Firewall генерирует запрос аутентификации, соответствующий
типу соединения (для Web-соединений это должен быть стандартный запрос ау-
аутентификации HTTP), а пользователь в ответ вводит свое имя и пароль (это про-
происходит на прикладном уровне).
4. Брандмауэр PIX Firewall переправляет информацию пользователя серверу, упол-
уполномоченному выполнить аутентификацию (например, серверу TACACS+ или
RADIUS). Брандмауэр PIX Firewall способен выполнять аутентификацию трафи-
трафика Telnet, FTP и HTTP.
5. После аутентификации пользователя брандмауэр PIX Firewall перемещает поток
данных сеанса на сетевой уровень на все время существования непосредственного
соединения между двумя сторонами, поддерживая контроль соединения на осно-
основе информации о его состоянии.
Возможность сквозной опосредованной аутентификации позволяет брандмауэру PIX
Firewall выполнять свою работу значительно быстрее, чем другие брандмауэры, требующие
обработки всех пакетов на прикладном уровне даже после аутентификации пользователя.
Модели брандмауэров PIX Firewall
и их компоненты
Выбрать подходящую модель брандмауэра PIX Firewall достаточно просто, если
иметь четкие ответы на следующие вопросы.
• Соответствует ли применение брандмауэра PIX Firewall проводимой предпри-
предприятием политике защиты?
• Что ожидается получить от брандмауэра PIX Firewall?
• Брандмауэр PIX Firewall предполагается использовать для защиты всей сети или
только ее части?
Глава 9. Возможности PIX Firewall 313

2.
PIX Firewall
EnterusaTiameforCCOatVn«*,coip
.. к*.- ¦-¦-.¦'-¦¦. ->¦ ?'--¦- aj
User Naroa I Student p
'Password |123@456
Web-сервер
a
3.
5.
Рис. 9.2. Схема процесса сквозной опосредованной аутентификации
• Каким угрозам безопасности подвергалась сеть и против каких сегментов сети
они были направлены?
• Насколько просто выполнить масштабирование соответствующего решения за-
защиты в случае быстрого расширения сети?
• Защищает ли соответствующий подход от нарушений, регистрируемых сегодня
и возможных в будущем?
• Будет ли соответствующее решение защиты работать в рамках имеющейся то-
топологии сети?
• Насколько просто модернизировать соответствующий продукт?
• Насколько просто будет установить и сопровождать соответствующий продукт?
Компания Cisco предлагает брандмауэры PIX Firewall моделей 515 и 520, предна-
предназначенные для решения задач защиты следующих групп потребителей.
• Cisco Secure PIX 515. Эта модель идеально подходит для малых и средних орга-
организаций. Брандмауэр PIX 515-R (ограниченная версия) поддерживает до 64000
открытых сеансов одновременно, а брандмауэр PIX 515-UR — до 128000 сеан-
сеансов. В последнее время компания Cisco снизила цену на эти модели, чтобы
сделать их более доступными для покупателей.
• Cisco Secure PIX 520. Брандмауэр PIX 520 рассчитан на применение в больших
и сложных сетях крупных предприятий. Без существенного снижения произво-
производительности он может поддерживать до 256000 открытых сеансов одновременно
(для достижения этих показателей требуются обновления).
Не так давно стала доступна еще одна модель брандмауэра PIX Firewall.
• Cisco Secure PIX 506. Это самый новый продукт семейства PIX Firewall. Он
предназначен для компаний, желающих предоставить своим служащим воз-
возможность использовать связь VPN. Брандмауэр может соединить до четырех
клиентов VPN сразу. Эта модель применяется для защиты особо важных дан-
314
Часть IV. Настройка CiscoSecure PIX Firewall

ных, передаваемых по стандартным связям IPSec с использованием сложных
технологий шифрования.
Обсуждать модель 506 мы здесь не будем, поскольку главной ее задачей является
поддержка связей VPN и шифрования данных, а эти вопросы выходят за рамки обсу-
обсуждения данной главы.
Компания Cisco разработала линию брандмауэров PIX Firewall с учетом возможно-
возможностей масштабирования и модернизации, чтобы обеспечить долговечность любой вы-
выбранной вами конфигурации. В следующих разделах главы будут рассмотрены пара-
параметры конфигурации, доступные только в брандмауэрах моделей 515 и 520.
Информация, предлагаемая в табл. 9.1, поможет вам в выборе подходящей модели
брандмауэра PIX. При этом необходимо учитывать сегодняшние и перспективные за-
задачи защиты, возможные изменения топологии сети, рост числа пользователей и со-
соответствующего трафика, с которым придется иметь дело брандмауэру PIX Firewall, a
также скорость работы, которую вы хотели бы получить от своего брандмауэра.
Вопрос
Ответ
Модель
брандмауэра
Объяснение
Сколько сегментов сети
предполагается подклю-
подключить к брандмауэру?
Как много пользователей
будут соединяться с
Internet через брандмау-
брандмауэр PIX Firewall?
Какова топология сети?
Требуется ли подключить
сегмент Token Ring?
Какая необходима ско-
скорость обмена?
Ожидается ли расшире-
расширение сети, которую дол-
должен защищать брандмау-
брандмауэр PIX?
Четыре или
более
Не более 1000
Только Ethernet
Используется
Token Ring и
Ethernet
В сети исполь-
используется техноло-
технология 100 Мбит
Перспективы
расширения
сети не ясны
PIX 520 или 515-U
PIX515
PIX515
PIX 520
PIX 515 или PIX 520
PIX 520
Брандмауэр PIX 520 имеет два дополни-
дополнительных порта расширения типа PCI. Мо-
Модель 515-U допускает использование четы-
рехпортового интерфейса Ethernet
Брандмауэры серии 515 могут обрабаты-
обрабатывать до 50000 соединений при использова-
использовании модели 515-R
Базовые модели серии 515 обеспечивают
работу в сетях только с топологией Ethernet
На сегодня только модель 520 допускает
использование Token Ring и Ethernet одно-
одновременно
Брандмауэры PIX Firewall моделей 515 и
520 могут обрабатывать потоки до 170
Мбит/сек (номинальная скорость)
Выбор модели 520 в условиях неопреде-
неопределенной перспективы расширения сети яв-
является лучшим вариантом. Эта модель
имеет прекрасные возможности масштаби-
масштабирования и может использоваться в сетях с
самой разной топологией
Если, ознакомившись с материалом данной главы, вы все же не определитесь с
выбором подходящей модели брандмауэра PIX Firewall, потратьте некоторое время на
выяснение того, какие решения предпочитают другие сетевые администраторы и на-
насколько они эффективны. Вы обнаружите, что диапазон мнений о преимуществах той
или иной модели PIX Firewall в конкретных условиях окажется весьма широким.
Компания Cisco предлагает также комплексные аппаратные решения, включающие
сетевые интерфейсы и соответствующие лицензии, разрешающие их использование. С
Глава 9. Возможности PIX Firewall
315

полным ассортиментом предлагаемых компанией Cisco брандмауэров PIX Firewall
можно ознакомиться на ее Web-странице.
Замечание
Для крупных предприятий подойдет также брандмауэр PIX модели 525. Ознакомьтесь
с информацией, предлагаемой по адресу: www.cisco.com, где имеется список доступ-
доступных на сегодня моделей брандмауэров PIX Firewall.
CiscoSecure PIX 515
Брандмауэр PIX модели 515 является превосходным выбором для малых и средних
предприятий, которым требуется надежная защита коммуникаций в рамках бюджет-
бюджетных ограничений и требований производительности территориальной сети начального
масштаба. В серии 515 предлагаются модели, обозначенные суффиксами U (версия
без ограничений — 170 Мбит/с и поддержка до 100000 соединений одновременно) и
R (ограниченная версия — 170 Мбит/с и поддержка до 50000 соединений одновре-
одновременно). В табл. 9.2 описаны ограничения обеих моделей.
Компоненты
Опции конфигурации
Процессор
Число локальных разъемов PCI
Память (DRAM)
Порты Ethernet
Интерфейс Token Ring
Интерфейс FDDI
Соединения
Скорость работы
Флэш-память (для операционной системы
и параметров конфигурации)
Программные возможности
Опции питания
Pentium Pro, 200 МГц
Два, внутренние
32 Мбайт E15-R) или 64 Мбайт E15-UR)
Два E15-R) или шесть E15-UR)
Не поддерживается
Не поддерживается
50000 E15-R) или 100000 E15-UR)
До 45 Мбит/с при поддержке до 50000 соединений одновремен-
одновременно и до 2000 соединений в секунду
8 Мбайт E15-R) или 16 Мбайт E15-UR)
PIX Firewall версии 5.02
Нет
CiscoSecure PIX 520
Если для защиты вашей сети требуется более надежная платформа, чем может
обеспечить брандмауэр PIX модели 515 (т.е. необходимы дополнительные интерфей-
интерфейсы, поддержка Token Ring или FDDI или большего числа одновременно существую-
существующих соединений), подходящим может оказаться брандмауэр PIX модели 520. Данная
модель легко справляется с нагрузкой в сетях компаний, которым необходима защита
на уровне всего предприятия (табл. 9.3).
316
Часть IV. Настройка CiscoSecure PIX Firewall

Компоненты
Опции конфигурации
Процессор
Число локальных разъемов PCI
Память (SDRAM)
Порты Ethernet
Интерфейс Token Ring
Интерфейс FDDI
Соединения
Скорость работы
Флэш-память (для операционной сис-
системы и параметров конфигурации)
Программные возможности
Опции питания
Intel Pentium II 233 или 350 МГц, в зависимости от серийного номера:
• для номеров 18005000-18013334 используется РН 233 МГц (версия
PIX не ниже 4.0.7)
• для номеров 18013335 и выше применяется PII350 МГц (версия PIX
не ниже 4.2.4 для возможности нумерации слотов)
Четыре, внутренние
128 Мбайт (стандарт)
Шесть, с возможностью настройки
Четыре, с возможностью настройки
Два, с возможностью настройки
256000
До 170 Мбит/с при поддержке до 256000 соединений одновременно и
до 6500 соединений в секунду
2 Мбайт
PIX Firewall версии 5.02
Источник постоянного тока PIX 520. Может также комплектоваться ис-
источником питания -48 В, соответствующим спецификациям NEBS Level
3 по стандарту Bellcore GR-63 и GR-1089
Замечание
Материнская плата брандмауэра PIX 520 на базе Pentium II содержит три разъема
DIMM. Программное обеспечение PIX не позволит использовать адреса памяти выше
128 Мбайт, даже если команда show version показывает, что общий объем памяти
превышает 128 Мбайт.
Интерфейсы, поддерживаемые брандмауэрами PIX
Как видно из представленных в предыдущем разделе таблиц, брандмауэр PIX
Firewall поддерживает несколько сетевых интерфейсов. Установка и использование
этих интерфейсов (Ethernet, Token Ring и FDDI) целиком зависит от тех лицензий,
которые вы приобретете.
Если ваша конфигурация требует наличия двух плат Ethernet и одной Token Ring,
необходимо приобрести лицензию, позволяющую использовать такое число плат. При-
Приобретенная вами лицензия будет ограничивать также число соединений, одновременно
открываемых в рамках сетевых интерфейсов. Суммарное число соединений зависит от
объема установленной оперативной памяти RAM (версии IOS 5.x и выше) и опций ли-
лицензии программного обеспечения. Соединение подобно сокету (двунаправленному ка-
каналу), поскольку оно характеризуется IP-адресами источника и адресата, а также номе-
номерами портов TCP или UDP источника и адресата. Можно увеличить число разрешенных
Глава 9. Возможности PIX Firewall
317

соединений, если приобрести обновление лицензии и добавить в конфигурацию бранд-
брандмауэра PIX Firewall секретный ключ активизации (предоставляемый компанией Cisco).
Следующие разделы содержат более подробные сведения о лицензировании для
брандмауэров PIX Firewall моделей 515 и 520 (в соответствии с информацией, пред-
представленной в каталоге продуктов Cisco Systems).
Варианты лицензий программного обеспечения
Для брандмауэра PIX 515 (версии 4.4) лицензия соответствует возможностям продукта.
Пользовательская лицензия профаммного обеспечения брандмауэра PIX 515 не имеет ог-
ограничений, а число одновременно открываемых исходящих соединений TCP/IP ограничи-
ограничивается аппаратными возможностями соответствующего комплекта поставки.
Брандмауэр начального уровня PIX 515-R (ограниченный) поддерживает до 50000
соединений. (Кроме того, PIX 515-R не обеспечивает автоматическое исправление
ошибок и поддерживает не более двух интерфейсов Ethernet 10/100.) Брандмауэр
среднего уровня PIX 515-UR поддерживает шесть интерфейсов Ethernet 10/100 и до
100000 соединений, а также обеспечивает автоматическое исправление ошибок.
Для брандмауэра PIX 520 предусмотрены лицензии начального и среднего уров-
уровней, а также неограниченная лицензия. Брандмауэр PIX 520 поддерживает более чет-
четверти миллиона соединений и шесть интерфейсов Ethernet 10/100 (или четыре Token
Ring, или два FDDI), а также обеспечивает автоматическое исправление ошибок.
Поддержка сетевых интерфейсных плат
Брандмауэр PIX Firewall поддерживает следующие типы сетевых интерфейсных плат.
• Ethernet 10/100BaseT с одним портом. До четырех сетевых плат на шасси бранд-
брандмауэра PIX Firewall. Это не относится к брандмауэру PIX 515 с ограниченным
программным обеспечением.
• Ethernet 10/100BaseT с четырьмя портами. Может комбинироваться с одной или
несколькими однопортовыми сетевыми платами Ethernet 10/100. Это не отно-
относится к брандмауэру PIX 515, имеющему программное обеспечение с ограни-
ограниченными возможностями.
• Token Ring 4/16 Мбит/с. До четырех сетевых плат на шасси брандмауэра PIX
Firewall. Это не относится к брандмауэру PIX 515.
• FDDI. До двух сетевых плат на шасси брандмауэра PIX Firewall. Это не отно-
относится к брандмауэру PIX 515.
Замечание
В брандмауэрах CiscoSecure PIX Firewall разрешается использовать только фирмен-
фирменные сетевые платы Cisco или платы авторизованных дилеров. Попытки использовать
другие сетевые платы ведут к потере гарантии.
Замечание
Сеансы HTTP являются временными, т.е. они длятся только в течение времени за-
загрузки объекта. Между загрузками, когда пользователь не использует программное
обеспечение клиента, активных сеансов нет.
318 Часть IV. Настройка CiscoSecure PIX Firewall

С появлением дополнительной опции в виде четырехпортовой интерфейсной пла-
платы Ethernet фирмы Cisco брандмауэр Р1Х Firewall существенно расширил свои воз-
возможности. Этот компонент обеспечивает четыре соединения Ethernet 10/100 и имеет
возможности автоматического распознавания. Разъемы на четырехпортовой плате в
брандмауэрах модели 515 нумеруются последовательно слева направо от 2 до 5, если
смотреть на устройство сзади.
Верхний номер порта четырехпортовой платы Ethernet зависит от номера разъема,
в который устанавливается плата (табл. 9.4).
Разъем 1
Разъем 2
Верхний разъем четырехпортовой платы
Четырехпортовая Любая
Ethernet
Ethernet
Token Ring
Token Ring
Token Ring
Ethernet
Четырехпортовая
Ethernet
Четырехпортовая
Token Ring
Ethernet
Token Ring
Любая
Любая
Четырехпортовая
Любая
Четырехпортовая
Четырехпортовая
Четырехпортовая
EthernetO
Etherneti
Ethernet
EthernetO
EthernetO
Etherneti
Etherneti
Замечание
При использовании четырехпортовой платы и при наличии любой сетевой платы, ус-
установленной в разъем 3, число интерфейсов оказывается больше шести. Плата в
разъеме 3 при этом будет недоступна, но ее наличие не вызывает проблем в работе
брандмауэра PIX 520.
Настройка брандмауэра PIX Firewall
Для настройки брандмауэра PIX Firewall необходимо выполнить следующие действия.
• Установить уровни безопасности интерфейсов, с которыми будут связываться
элементы политики защиты.
• Выбрать для интерфейсов имена, описывающие их назначение.
• Назначить интерфейсам IP-адреса.
• Установить пароли доступа Telnet и доступа к интерфейсу командной строки.
• Создать статические карты и каналы (если это необходимо).
• Создать глобальный пул адресов, если требуется трансляция сетевых адресов.
• Сохранить конфигурацию в памяти или на диске.
С помощью команд nameif, interface и ip address брандмауэр PIX Firewall на-
настраивается так, чтобы он мог безопасно и спокойно сообщаться с внешним миром.
Команда global позволяет создать пулы IP-адресов, с помощью которых команда
nat сможет присваивать новые IP-адреса пакетам, покидающим брандмауэр, чтобы
скрыть истинные адреса источника.
Глава 9. Возможности PIX Firewall
319

Наконец, что очень важно, необходимо применить команду write, чтобы сохра-
сохранить все изменения конфигурации в памяти, на дискете или сетевом файловом серве-
сервере и иметь резервную копию. Синтаксис используемых в данном разделе команд бу-
будет описан подробнее в следующих главах.
Метод, который применяется для начальной настройки брандмауэра PIX Firewall,
зависит от версии установленного программного обеспечения брандмауэра и типа ра-
рабочих станций, которым потребуется доступ к брандмауэру. Если в системе установ-
установлено программное обеспечение PIX Firewall версии 4.2 (или более поздней) и необхо-
необходимо получить доступ с компьютера на базе Windows, то настроить брандмауэр можно
одним из следующих двух способов.
• Подключить консольный кабель к последовательному кабелю компьютера и на-
настроить брандмауэр PIX Firewall, используя интерфейс командной строки.
• Установить мастер установки PIX Firewall, чтобы использовать его для создания
начальной конфигурации и ее загрузки в брандмауэр PIX Firewall.
Если установлена версия 4.2 (или более поздняя), а рабочая станция работает под
управлением UNIX или другой операционной системы, отличной от Windows, то для
настройки можно использовать эмулятор терминала и командную строку брандмауэра
PIX Firewall.
Замечание
Пример конфигурации в конце этой главы можно подправить и использовать в качест-
качестве шаблона при введении команд в командную строку.
Интерфейс командной строки брандмауэра PIX
Интерфейс командной строки брандмауэра PIX Firewall предлагает набор команд,
очень похожих по структуре на команды Cisco IOS маршрутизаторов Cisco.
Многочисленные функции каждой из команд могут быть выполнены только в соответ-
соответствующих режимах. На первых порах при использовании интерфейса командной строки
Cisco IOS запомнить соответствие уровней и команд может оказаться непросто. Лучше
всего здесь поможет четкое понимание действия, которое необходимо выполнить.
• Непривилегированный режим (называемый также пользовательским режимом).
Позволяет только просмотр элементов администрирования.
• Привилегированный режим (режим enable). Позволяет просмотр и изменение
элементов администрирования.
• Режим конфигурации (режим config). Позволяет изменить конфигурацию бранд-
брандмауэра PIX Firewall. В отличие от режима config программного обеспечения
Cisco IOS, позволяет также выполнять интерактивные команды.
В следующих разделах эти режимы обсуждаются подробнее, чтобы выяснить воз-
возможности каждого из указанных командных уровней.
Непривилегированный режим
При получении доступа через консольный кабель или в рамках сеанса Telnet вы
сначала оказываетесь в непривилегированном режиме, который имеет низкий уровень
защиты и выбирается по умолчанию. Для немедленного перехода в непривилегиро-
непривилегированный режим из любого другого следует нажать <Ctrl+Z>.
320 Часть IV. Настройка CiscoSecure PIX Firewall

Непривилегированный режим имеет следующие характеристики.
• Он идентифицируется знаком "больше" (>) в приглашении командной строки
(например, Pixfirewall>).
• Разрешается офаниченный просмотр текущих установок конфигурации.
• Команды, которые могут влиять на работу брандмауэра PIX Firewall, на этом
уровне выполнить нельзя.
• Это режим по умолчанию для консоли.
• Изначально этому уровню не присвоено никакого пароля.
На этом уровне доступны команда enable (запрос доступа к привилегированному
режиму) и ограниченный набор операционных команд. Операционные команды не-
непривилегированного уровня представлены в табл. 9.5.
Команды
Выполняемые действия
show checksum Показывает контрольную сумму конфигурации, которая может использоваться при разре-
разрешении проблем конфигурации и восстановлении утерянного пароля
show version Позволяет выяснить номер версии Cisco I0S и другие параметры конфигурации (в частно-
частности, установленные интерфейсы и параметры лицензии)
help Отображает справочную информацию для команд и их параметров
who Отображает информацию об активных сеансах администрирования Telnet
Ввиду такой ограниченности возможностей непривилегированного режима вы,
скорее всего, не будете тратить слишком много времени на работу в нем. Чтобы вне-
внести какие-то изменения в конфигурацию брандмауэра, необходимо перейти в приви-
привилегированный режим.
Привилегированный режим
Привилегированный режим открывает доступ к внутренним ресурсам брандмауэра
PIX Firewall (для перехода в этот режим следует ввести enable и нажать <Enter>). В
этом режиме вы получаете доступ ко всему многообразию операционных и конфигу-
конфигурационных команд брандмауэра, поэтому привилегированный режим необходимо за-
защитить паролем. Установить пароль относительно просто. Для этого нужно ввести
команду enable password. Если пароль еще не был определен, можно его ввести после
выполнения команды enable, когда на экране появится запрос пароля. На этой стадии
настройки брандмауэра PIX Firewall нужно не забыть обязательно ввести пароль ре-
режима enable, прежде чем продолжить дальнейшую работу.
Замечание
В отличие от пароля enable стандартного маршрутизатора Cisco, в брандмауэре PIX
пароль enable шифруется автоматически.
Привилегированный режим имеет следующие характеристики.
• Он идентифицируется знаком "решетка" (#) в приглашении командной строки
(например, Pixfirewalljt).
Глава 9. Возможности PIX Firewall
321

• Разрешается изменять текущие установки конфигурации и записывать измене-
изменения в флэш-память. По завершении процесса настройки брандмауэра PIX
Firewall измените пароль с помощью команды enable password.
• Команды непривилегированного режима здесь также доступны.
• Чтобы войти в привилегированный режим, необходимо в непривилегированном
режиме ввести команду enable.
В привилегированном режиме вы имеете доступ ко всем командным режимам, к ре-
режиму конфигурации (если требуется изменение конфигурации) и командам, которые мо-
могут влиять на текущую "выполняемую" конфигурацию брандмауэра РГХ Firewall.
В табл. 9.6 представлены команды, доступные в привилегированном режиме.
| Таблица 96. Команды привилегированного режима - ' , _¦•'. ;*- - -••.¦'. . - .'¦ |
Команды Выполняемые действия
disable Переход из привилегированного режима в непривилегированный
configure terminal Переход в режим config. На стандартном маршрутизаторе Cisco соответствую-
соответствующей командой является config t
kill telnet_id Позволяет закрыть сеанс Telnet с соответствующим идентификатором сеанса
clear configure primary Переустанавливает значения по умолчанию для команд interface, ip, mtu,
nameif и route
Ознакомившись с настройкой брандмауэра PIX Firewall, вы получите лучшее пред-
представление о привилегированном режиме, а также о режиме config, который обсужда-
обсуждается в следующем разделе.
Режим конфигурации
Хотя привилегированный режим и требует для доступа к нему ввода секретного
шифрованного пароля, все же он не может сравниться по своим возможностям с ре-
режимом конфигурации. Режим конфигурации позволяет внести изменения в конфигу-
конфигурацию любого компонента брандмауэра PIX Firewall. Чтобы перейти в режим конфи-
конфигурации, следует ввести config t и нажать <Enter>.
Этот режим имеет следующие характеристики.
• Он идентифицируется наличием (config) в приглашении командной строки
(например, Pixfirewall(config) #).
• Разрешается изменять текущую конфигурацию брандмауэра PIX Firewall.
• Команды непривилегированного режима здесь не работают; для их выполнения
необходимо выйти из режима конфигурации.
• В этом режиме доступны не только команды режима конфигурации, но и ко-
команды привилегированного режима.
В режиме конфигурации имеется доступ ко всем командным режимам, ко всем
командам изменения конфигурации и другим командам, которые могут влиять на те-
текущую конфигурацию брандмауэра PIX Firewall.
В табл. 9.7 представлены некоторые команды, доступные в режиме конфигурации.
Этот режим имеет больший потенциал опасности при неправильном или злонаме-
злонамеренном его использовании. К этому режиму должны иметь доступ только те, кто хо-
322 Часть IV. Настройка CiscoSecure PIX Firewall

рошо знаком с интерфейсом командной строки брандмауэра PIX. Команды настройки
брандмауэра PIX Firewall, которые будут обсуждаться в этой главе ниже, необходимо
вводить именно в этом режиме.
Команды Выполняемые действия
access-list Дает возможность создавать списки доступа, которые разрешают или запрещают кон-
конкретные типы трафика
clear arp Очищает кэш ARP (Address Resolution Protocol - протокол разрешения адресов)
clear conduit Удаляет каналы из текущей конфигурации
copy tftp flash Позволяет скопировать файл конфигурации с сервера TFTP в флэш-память
Реализация защиты интерфейсов
Брандмауэр PIX Firewall по определению является устройством защиты. Как уже
говорилось выше, защита сетевых интерфейсов активизируется путем назначения им
соответствующих значений защиты. Соединения между двумя интерфейсами допус-
допускаются только при соблюдении правила "от высшего к низшему".
Хотя главной задачей брандмауэра PIX Firewall является защита сети от атак нарушите-
нарушителей из Internet, он должен защищать сеть и от В1гутренних нарушителей. Именно по этой
причине значения защиты присваиваются всем интерфейсам брандмауэра PIX Firewall.
Рассмотрим для примера здание, в котором вы работаете. Несомненно, определен-
определенные задачи защиты выполняет парадная дверь, независимо от того, имеется ли там
устройство чтения идентификационных карт или охранник. Задачей механизма защи-
защиты является охрана здания от несанкционированного доступа. После входа в здание
вы обнаружите в дверях комнат замки, которые служат той же цели. Подобная сег-
сегментированная модель защиты используется и в брандмауэре PIX Firewall.
Приобретенная вами модель брандмауэра PIX Firewall может иметь четыре (или
больше) сетевые интерфейсные платы, и соответствующие интерфейсы могут соеди-
соединяться с различными сегментами сети. Чтобы не позволить бесконтрольный доступ из
одних сегментов сети к другим, необходимо назначить им уровни безопасности.
Команда nameif
Команда nameif используется для того, чтобы присвоить имена и значения защиты
интерфейсам брандмауэра PIX Firewall. Присвоенные интерфейсам имена будут при-
применяться в других командах брандмауэра PIX Firewall (например, в командах ip
address и ping), поэтому желательно выбирать информативные имена, напоминаю-
напоминающие о задачах, которые должны выполняться интерфейсом. Немного позже в этом
разделе мы обсудим правила связывания интерфейсов с разными уровнями безопас-
безопасности. Кроме того, мы рассмотрим отношения, существующие между интерфейсами с
одним и тем же уровнем безопасности.
Рассмотрим синтаксис команды nameif.
nameif id_nnaTii имя_иитерфейса уровень_безопасности
Параметры команды описаны в следующей таблице.
Глава 9. Возможности PIX Firewall 323

Параметр команды Описание
id_nnaTn Указывает имя сетевой интерфейсной платы и порядок нумерации таких плат в за-
зависимости от модели брандмауэра, в которой они установлены. Эти имена можно
сокращать до нескольких первых символов имени (например, ether!, e2, FDDI1, F1,
tokenO или tO)
имя_иитерфейса Указывает имя внутреннего или внешнего сетевого интерфейса; может содержать
до 255 символов верхнего или нижнего регистра
уровеиь_безопасиости Указывает уровень безопасности сети и отношения между интерфейсами. Может
иметь вид securityn, но допускает сокращение до seen и даже до sn
(например, sO)
Замечание
Первые два интерфейса имеют имена по умолчанию: outside и inside (внешний и
внутренний). Внутренний интерфейс по умолчанию имеет уровень безопасности 100,
а внешний — 0. Для этих двух интерфейсов изменить уровни безопасности нельзя.
Принятое по умолчанию имя для внутреннего интерфейса тоже изменить нельзя, но
сделать это можно для внешнего интерфейса.
Уровни безопасности
Использование уровней безопасности для интерфейсов является основой защиты
инфраструктуры, через которую проходит важная информация. Не все сети равны по
своей важности, поэтому связь между некоторыми сетями или их сегментами может
оказаться нежелательной. Деление сетей на сегменты с разными уровнями безопасно-
безопасности дает возможность сетевым инженерам определить, какие сегменты сети имеют бо-
более высокий риск нарушения защиты (при этом нет необходимости посвящать их в
тонкости модели защиты).
Имейте в виду, что команды conduit и static могут отменить любые меры защи-
защиты, установленные с помощью команды nameif.
Правила уровней безопасности
Для трафика, исходящего из внутренней сети с уровнем безопасности 100 и направ-
направленного во внешнюю сеть с уровнем безопасности 0, применяется следующее правило:
разрешается весь трафик IP, не ограниченный специально списками доступа, аутентифи-
аутентификацией или авторизацией. Принимаются во внимание также команды nat (указывающие
допустимые связи интерфейсов хоста) и команды global (задающие внешние адреса, дос-
доступные для транслятора сетевых адресов при выполнении команд nat).
Для трафика, порожденного внешней сетью с уровнем безопасности 0 и направленного
во внутреннюю сеть с уровнем безопасности 100, применяется следующее правило: отвер-
отвергаются все пакеты, не разрешенные специально командой conduit. Дополнительные огра-
ограничения на трафик могут налагать процедуры аутентификации и авторизации.
Для разрешения трафика извне во внутреннюю сеть необходимо использовать ко-
команды conduit и static.
Между двумя сетями с одним и тем же уровнем безопасности связь запрещается;
кроме тех случаев, когда для отмены такого ограничения применяются команды
conduit и static. Если периметры сетей настроены с указанием одного уровня безо-
324 Часть IV. Настройка CiscoSecure PIX Firewall

пасности, никакого свободного трафика между такими сетями быть не может. Это
правило особенно важно, когда брандмауэр PIX Firewall поддерживает большое число
(до 16) сетевых интерфейсов.
Уровень безопасности 100 имеет следующие характеристики.
• Это наивысший уровень безопасности (только одна сеть должна иметь уровень
безопасности 100).
• Это значение обычно назначается только интерфейсу, соединенному с внут-
внутренней сетью.
• Это значение обычно назначается интерфейсу, через который с брандмауэром
PIX Firewall соединяется самое большое число сетей.
Уровень безопасности 0 имеет такие характеристики.
• Это самый низкий уровень безопасности.
• Это значение обычно назначается только внешнему интерфейсу.
• Это значение обычно назначается интерфейсу, связанному с Internet.
Если для какой-то команды требуется указать имена двух интерфейсов, сначала
указывается более безопасная сеть и только потом — менее безопасная (пример 9.2).
Pixfirewall(config)# static (inside,outside)
Pixfirewall(config)# static (inside,dmzl)
Связь между уровнями безопасности интерфейсов
При связи между интерфейсами брандмауэра PIX Firewall выполняется сравнение
их уровней безопасности. В табл. 9.8 объясняются следующие примеры сравнения.
• Интерфейс рассматривается как внешний, если сравнение выявляет отношение
"более низкий уровень к более высокому".
• Интерфейс рассматривается как внутренний, если сравнение выявляет отноше-
отношение "более высокий уровень к более низкому".
19.8. Руководство для опреде
звания
Интерфейсная
пара
Интерфейсное отношение для
интерфейса Ethernet (DMZ1)
Рекомендации по настройке
Outside sec 0
HDMZ1 sec 50
Inside sec 100
HDMZ1 sec 50
DMZ1 считается внутренним ин-
интерфейсом
DMZ1 считается внешним ин-
интерфейсом
Для разрешения сеансов связи с dhzi, устанавливаемых
внешним интерфейсом, необходимо использовать соот-
соответствующие команды global, static и conduit
Для разрешения сеансов связи с DHZ1, устанавли-
устанавливаемых внутренним интерфейсом, используются ко-
команды global и nat. Для интерфейса DHZ1 можно
указать статические карты (команда static), чтобы
гарантировать, что хосты сервисов имеют соответст-
соответствующий адрес источника
Глава 9. Возможности PIX Firewall
325

При сравнении уровней безопасности двух интерфейсов считайте, что интерфейс с
более низким уровнем безопасности находится снаружи брандмауэра PIX Firewall, не-
независимо от того, соответствует это действительности или нет. Это напомнит о том,
что при настройке конфигурации всегда нужно принимать во внимание уровень безо-
безопасности интерфейса. Объяснение такого подхода содержится в табл. 9.9.
Таблица 9.9. Интерпретация соединений на основе значений уровней 'Ж |
Сторона А соединения Сторона В соединения (адресат) Интерпретация стороны А
(инициатор)
Значение 0
Значение 100
Значение 50
Значение 50
Значение 50
Значение 100
Внешняя
Внутренняя
Внешняя
Команды interface и ip address
Теперь пришло время разобраться с назначением интерфейсам брандмауэра PIX
Firewall имен и IP-адресов. Для определенности мы рассмотрим метод соединения с
брандмауэром с помощью консольного кабеля. На практике этот метод соединения не
всегда удобен, да и не всегда возможен (сеть, например, может быть развернута по
всему городу или даже на нескольких континентах).
В конечном счете мы рассмотрим связь с брандмауэром PIX Firewall через Telnet, a
для этого интерфейсу назначения потребуется присвоить IP-адрес. В этом разделе
рассматриваются команды interface и ip address. С помощью этих команд будут за-
заданы значения, которые мы собираемся использовать до конца главы при проверке
связей и поиске ошибок конфигурации.
Пароли Telnet брандмауэра PIX
Для подключения к маршрутизатору или брандмауэру при выполнении задач сопрово-
сопровождения и настройки чаще всего применяется программа Telnet. Важно помнить, что
брандмауэр PIX Firewall не позволяет доступ Telnet с внешнего интерфейса, поэтому все
задачи конфигурации должны решаться с помощью соединений, исходящих с внутреннего
интерфейса. По умолчанию для пароля Telnet производителем выбрано слово cisco. Ввиду
того, что этот пароль публикуется в документации PIX Firewall, его нужно немедленно из-
изменить. Чтобы изменить пароль Telnet, выполните следующие действия.
1. Соединитесь с брандмауэром PIX Firewall через консольный порт.
2. Введите команду enable в непривилегированном режиме.
3. Введите пароль режима enable.
4. Проверьте, что вы находитесь в привилегированном режиме (приглашение ко-
командной строки должно заканчиваться знаком if).
5. Введите команду passwd, за которой должен следовать нужный пароль. Этот пароль
используется как Telnet, так и интерфейсом диспетчера РГХ Firewall Manager, поэтому
не забудьте сообщить новый пароль тем, кто должен его знать.
Будьте предельно внимательны и обязательно запишите новый пароль, поскольку
после того, как вы нажмете клавишу <Enter>, не будет никакой возможности выяс-
326 Часть IV. Настройка CiscoSecure PIX Firewall

нить пароль, если вы его забудете. Брандмауэр PIX Firewall хранит пароль в зашифро-
зашифрованном виде. При этом команда show passwd отображает в зашифрованном виде даже
строку пробелов.
После шифрования пароля его невозможно расшифровать. Если пароль потерян
или забыт, единственным способом получения доступа будет перезагрузка брандмау-
брандмауэра PIX Firewall в режиме монитора ROM и установка регистра, позволяющего обойти
имеющуюся конфигурацию.
Команда interface
Команда interface используется для того, чтобы назначить распознаваемые имена ин-
интерфейсам. Кроме того, она определяет скорость и параметры дуплексной связи для уста-
установленных производителем сетевых интерфейсных плат. Команда show interface позволя-
позволяет увидеть параметры интерфейса. Это одна из первых команд, которую вам придется ис-
использовать для проверки конфигурации сети после установки брандмауэра PIX Firewall.
Рассмотрим синтаксис команды interface.
interface id_nnaTU [скорость плата] [shutdown]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
id_rmarn Указывает тип сетевой интерфейсной платы. Допустимыми значениями являются
ethernetO, ethernetl - ethernetn, token-ringO, token-ringl - token-
ringn и fddil - fddi2 (в зависимости от числа интерфейсов, которое допускает
брандмауэр)
скоросгь_платы Указывает скорость сетевого интерфейса. Допустимыми значениями являются
lObaset, lOObasetx, lOOfull, aui, auto и bnc. Допустимые значения для Token
Ring — 4mbps и 16mbps (последнее используется по умолчанию)
shutdown Отключает интерфейс
В примере 9.3 показан вариант команды interface, идентифицирующей сетевой ин-
интерфейс как ethernetl и устанавливающей автоматический режим аппаратной скорости.
Pixfirewall(config)jf interface ethernetl auto
Команда ip address
После назначения интерфейсу логического имени следующим шагом является
присвоение интерфейсу подходящего IP-адреса.
IP-адреса назначаются интерфейсам брандмауэра PIX Firewall с помощью команды
ip address. Рассмотрим синтаксис этой команды.
ip address имя_интерфейса ip_anpec [сетевая-маска]
Параметры команды описаны в следующей таблице.
Глава 9. Возможности PIX Firewall
327

Параметр команды Описание
имя_иитерфейса Указывает имя интерфейса, заданное командой nameif
1р_адрес Указывает IP-адрес сетевого интерфейса брандмауэра PIX Firewall
сетевая-маска Определяет сетевую маску для значения 1р_адрес. PIX Firewall версии 4.2 позво-
позволяет связать с IP-адресом маску подсети
Команда write
Команда write применяется, когда необходимо сохранить, просмотреть или очи-
очистить текущую конфигурацию. Приведем синтаксис команды write.
write erase
write floppy
write memory
write standby
write terminal
write net [[1р_сервера]:[имя-файла]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
erase Очищает флэш-память конфигурации. Чтобы обновить флэш-память без очистки конфи-
конфигурации, используйте команду groom
floppy Сохраняет текущую конфигурацию на диске. Это должен быть диск в формате DOS или
загрузочный диск PIX 520. Диск может быть прочитан или записан брандмауэром PIX
520 (брандмауэр PIX 515 не имеет дисковода для дискет)
memory Сохраняет текущую конфигурацию в флэш-памяти. Чтобы добавить параметры текущей
конфигурации к ее образу, уже сохраненному в флэш-памяти, используйте команду
configure memory
standby Сохраняет конфигурацию в резервном устройстве предотвращения отказов (из RAM в
RAM). При загрузке главное устройство автоматически записывает параметры конфигу-
конфигурации в резервное устройство. Используйте команду write standby тогда, когда
конфигурации главного и резервного устройств не совпадают
terminal Отображает информацию о текущей конфигурации на экране терминала. Параметры
конфигурации, хранящиеся в флэш-памяти, можно отобразить также с помощью коман-
команды show configure
net ip сервера: Сохраняет текущую конфигурацию в системе доступного по сети хоста. Если полный путь и
имя файла заданы командой tf tp-server, в команде write укажите только двоеточие (:)
имя-файла Имя файла, в котором сервер TFTP (заданный параметром 1р_сервера) должен сохра-
сохранить конфигурацию. Если имя файла задается командой tf tp-server, в команде
write следует указать только двоеточие (:). Обычно сервер TFTP требует, чтобы такой
файл был открытым для записи и общедоступным
Трансляция сетевых адресов с помощью команд
global и nat
Как объясняет толковый словарь, трансляция — это изменение одной формы в
другую, превращение или трансформация. Когда брандмауэр PIX Firewall извлекает
328 Часть IV. Настройка CiscoSecure PIX Firewall

IP-адрес источника пакета, приходящего из внутренней сети, и назначает пакету но-
новый адрес из пула глобальных адресов, выполняется трансляция адресов, в результате
которой истинный адрес источника скрывается от внешнего мира.
Процесс "перерождения" соединения пользователя осуществляется благодаря ко-
командам nat и global. В этом разделе мы обсудим различные типы трансляции и за-
задающие их команды.
Команды global и nat
Средства трансляции сетевых адресов отвечают за отображение одного класса адре-
адресов в другой для исходящего потока данных и поддержку таблицы соответствий, по-
позволяющей направлять возврашаюшиеся через брандмауэр PIX данные запросившей
их стороне. При этом организация имеет возможность использовать один набор IP-
адресов для внутреннего трафика и другой — для внешнего.
Зачем все это нужно? Ответ прост: экономия зарегистрированных адресов. Даже
если организация приобрела только один зарегистрированный IP-адрес у поставщика
услуг Internet, трансляция сетевых адресов позволяет использовать этот единственный
адрес всему предприятию.
Как правило, частные сети имеют резервные адреса RFC A0.0.0.0, 192.168.0.0) и
применяют трансляцию сетевых адресов, чтобы позволить хостам внутренней сети со-
соединяться с внешним миром. Инициируемое хостом исходящее соединение будет
выглядеть исходящим с официально зарегистрированного IP-адреса, выбранного из
пула доступных глобальных адресов. Такая "зашита через неизвестность" обеспечива-
обеспечивает определенный уровень безопасности, но средства трансляции не должны быть
единственным компонентом системы зашиты.
Процесс назначения и трансляции сетевых адресов управляется командами nat
и global.
Давайте проанализируем процесс обработки запроса трансляции, чтобы лучше по-
понять, что на самом деле происходит в сети. На рис. 9.3 показано, каким образом
брандмауэр PIX Firewall изменяет IP-адрес выходящего из сети пакета.
Процесс трансляции по своей природе очень прост. Адрес источника запраши-
запрашивающей стороны брандмауэром PIX Firewall удаляется, но записывается. После удале-
удаления "старого" адреса брандмауэр присваивает соединению новый адрес из пула дос-
доступных глобальных адресов и направляет пакеты дальше по их маршрутам. Ознакомь-
Ознакомьтесь со следующим описанием, чтобы понять весь процесс в целом.
1. Источник с адресом 10.1.2.2 запрашивает Web-страницу у Web-сервера 192.168.255.2.
2. Запрос достигает брандмауэра PIX Firewall и обрабатывается для доставки внеш-
внешнему интерфейсу.
3. Брандмауэр PIX Firewall извлекает исходный адрес A0.1.2.2) источника и меняет
его на IP-адрес из пула глобальных адресов A92.168.1.10)
4. Брандмауэр PIX Firewall создает запись в таблице трансляции сетевых адресов
(содержашую адрес источника, порядковый номер TCP и т.д.), чтобы помнить о
том, что запрашивающей стороной является 10.1.2.2.
5. Запрос обрабатывается Web-сервером (или каким-то другим соответствующим
внешним объектом), и после этого в адрес источника запроса отправляется ответ.
6. Брандмауэр PIX Firewall получает пакет и проверяет таблицу трансляции сетевых
адресов, чтобы выяснить внутренний адрес источника запроса.
7. Пакет направляется хосту, который инициировал запрос.
Глава 9. Возможности PIX Firewall 329

о
192.168.1.10
192.168.225.2
10.1.1.1
Пул глобальных адресов
192.168.1.10-192.168.1.254
PIX Firewall
10.1.2.2
10.1.2.1
10.1.2.2
Рис. 9.3. Пример использования глобальных адресов и трансляции
Пул глобальных адресов определяется командой global. Этот пул обеспечивает IP-
адрес каждому исходящему соединению и всем входящим, возникающим вследствие
исходящих. Рассмотрим синтаксис команды global.
global [{имя_иитерфейса}} nat_id глобальн_1р[-глобальн_1р] [netmask глобальн_маска]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
иыя_иитерфейса Имя внешнего сетевого интерфейса, где должны применяться глобальные адреса
nat_id Задает положительное число, объединяющее команды трансляции nat и global в
группу. Не должно превышать значение 2147483647
глобалъи_1р Задает глобальные IP-адреса, которые будут использоваться брандмауэром PIX
Firewall для соединений. Если внешняя сеть связана с Internet, то каждый глобальный
IP-адрес должен быть зарегистрирован в сетевом информационном центре. Можно
описать диапазон IP-адресов, разделив их дефисом (-)
netmask Предшествует сетевой переменной глобальн маска. Позволяет расширить границы
пула глобальных элементов
глобалъи_маска Определяет сетевую маску для адресов глобальн ip
Средства трансляции скрывают IP-адреса внутренней сети от внешних сетей. Команда
nat активизирует средства трансляции сетевых адресов в брандмауэре PIX Firewall. Эта ко-
330
Часть IV. Настройка CiscoSecure PIX Firewall

манда связывает сеть с пулом IP-адресов, описанных командами global и static. Команда
nat позволяет активизировать или отключить трансляцию адресов для каждого внутрен-
внутреннего адреса в отдельности.
В процессе начальной настройки брандмауэра PIX Firewall с помощью команды
nat inside I 0.0.0.0 0.0.0.0 можно позволить устанавливать исходящие соединения
всем внутренним хостам. Команда nat inside I 0.0.0.0 0.0.0.0 активизирует средст-
средства трансляции и позволяет всем хостам (что указывается значением 0.0.0.0) устанав-
устанавливать исходящие соединения. С помощью команды nat можно также указать адрес
отдельного хоста или диапазон адресов, чтобы сделать доступ более селективным.
Замечание
Если в команде nat не указать имя интерфейса, то по умолчанию будет использо-
использоваться имя внешнего интерфейса.
Рассмотрим синтаксис команды nat.
nat [(имя_интерфейса)] nat_id покапьн ip [маска [max_conns [em limit]]] [norandomseq]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
иыя_иитерфейса Указывает имя внутреннего сетевого интерфейса
nat_id Задает произвольное положительное число от 0 до (примерно) 2 млрд. Это число за-
задается командой global и должно совпадать с идентификатором, используемым в
командах outbound и apply. Используйте 0, чтобы отменить трансляцию адресов,
указанных параметром локальн_1р. Все операторы трансляции с одинаковыми значе-
значениями nat id относятся к одной группе nat
локальн^р Задает IP-адрес внутренней сети, который должен транслироваться. Можно использо-
использовать 0.0.0.0, чтобы позволить устанавливать исходящие соединения всем хостам
(значение 0.0.0.0 можно сократить до 0)
маска Указывает сетевую маску для локалън^р. Можно использовать 0.0.0.0, чтобы разре-
разрешить трансляцию всех исходящих соединений с помощью пула глобальных IP-адресов
max_conns Определяет максимальное число TCP-соединений с интерфейсом, заданным параметром
имя_иитерфейса данной команды. Максимальное значение для max conns ограничено
имеющейся лицензией. Используйте команду show conn, чтобы выяснить максимальное
число соединений, допустимое для вашего брандмауэра. Чтобы исключить ошибку, возьмите
значение max conns из команд nat и Btatic, уже имеющихся в конфигурации. Общее
число соединений не должно превышать значения, разрешенного лицензией
em_limi t Предельное число зарождающихся соединений. По умолчанию используется значение 0, что
означает отсутствие ограничений. Максимум зависит от имеющейся в вашем распоряжении
лицензии, а минимальным ограничением является 1. Общим правилом является использова-
использование значения, равного примерно 70% от числа соединений, разрешенного лицензией
(например, при наличии лицензии на 1024 сеанса можно указать значение 715). Выбирайте
меньшие значения для медленных систем и большие—для быстрых
norandomseq Запрещает рандомизацию порядковых номеров TCP-пакетов. Используйте это ключе-
ключевое слово только в том случае, если случайные порядковые номера генерирует другой
брандмауэр на линии и в результате этого искажаются данные. Применение этого
ключевого слова открывает брешь в системе защиты брандмауэра PIX Firewall
Глава 9. Возможности PIX Firewall
331

В примерах 9.4 и 9.5 показаны простые команды global и nat, которые можно исполь-
использовать в процессе начальной конфигурации брандмауэра PIX Firewall. Команда global, по-
показанная в примере 9.4, для соединений с внешними сетями создает пул глобальных IP-
адресов, начиная с адреса 192.168.1.10 и заканчивая адресом 192.168.1.254.
; Пример 9.4. Создание пула глобальных адресов для использования Щ
Pixfirewallfconfig)* global (outside) 1 192.168.1.10-192.168.1.254 netmask
255.255.255.0
Команда nat, показанная в примере 9.5, вызывает трансляцию всех внутренних адресов
в адреса, заданные командой global. Значение поля nat_id указывает на пул глобальных
адресов, описанный командой global с таким же значением соответствующего поля.
Pixfirewall(config)* nat (inside) 1 0.0.0.8 0.0.0.0
Замечание
При использовании пула глобальных адресов брандмауэр PIX Firewall выбирает адреса,
начиная с левой границы диапазона, указанного в команде global, и двигаясь к правой.
Тестирование конфигурации брандмауэра
PIX Firewall
Теперь, разобравшись с основами настройки брандмауэра PIX Firewall, необходимо
научиться проверять качество выполненной работы. С помощью представленных в
этом разделе команд можно проверить параметры созданной конфигурации и выявить
возможные недочеты планирования.
Не следует считать, что предварительного тестирования конфигурации будет доста-
достаточно. Тесты, которые предлагается выполнить в этом разделе, предназначены только
для проверки правильности функционирования самого брандмауэра PIX Firewall. Ес-
Если имеется возможность, необходимо проверить брандмауэр в условиях лабораторной
среды, приближенных к реальным условиям вашей сети. В лабораторных условиях
можно провести испытания, которые могут выявить недостатки защиты, ускользнув-
ускользнувшие от вашего внимания.
Команда show ip address
Команда show ip address позволяет убедиться, что IP-адрес, присвоенный интерфейсу,
является правильным. В примере 9.6 показан вариант вывода команды show ip address.
Pixfirewallt show ip address
inside ip address 10.1.1.3 mask 255.255.255.0
outside ip address 192.168.1.1 mask 255.255.255.0
332 Часть IV. Настройка CiscoSecure PIX Firewall

Команда show interface
С помощью команды show interface можно убедиться, что интерфейс функциони-
функционирует и кабели подключены правильно. Если на дисплее присутствует строка "line
protocol is up" (протокол линии работает), значит, используется нужный кабель и он
правильно соединен с брандмауэром PIX Firewall. Если дисплей сообщает, что интер-
интерфейс "is up", значит, интерфейс готов к работе. Если отображаются обе фразы, про-
проверьте строки, содержащие "packets input" и "packets output" (прием и передача паке-
пакетов). Если пакеты принимаются и передаются, брандмауэр PIX Firewall настроен пра-
правильно, а кабель правильно подключен. В примере 9.7 показан вариант вывода
команды show interface.
ы 9how interface
Pixfirewalljf show interface
ethemet outside is up, line protocol is up
Hardware is 182557 ethernet, address is 00a0.c90a.eb4d
IP address 192.168.1.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
798 packets input, 35112 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
798 packets output, 35112 bytes, 0 underruns
ethernet inside is up, line protocol is up
Hardware is 182557 ethernet, address is 00a0.c90a.eb43
IP address 10.1.1.3, subnet mask 255.255.255.0
MTU 1500 bytes, BW 10000 Kbit half duplex
1071 packets input, 71410 bytes, 0 no buffer
Received 232 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1071 packets output, 71410 bytes, 0 underruns
Команды show агр и clear arp
Чтобы проверить связь с брандмауэром PIX Firewall, выяснив, содержит ли кэш
ARP какие-либо данные, используйте команду show arp. Если данные в кэше есть,
очистите кэш ARP с помощью команды clear arp и снова проверьте его (применив
команду show arp), чтобы выяснить, есть ли в нем новые данные. В примере 9.8 пока-
показан вариант вывода команды show arp.
Pixfirewalljf show arp
inside 10.1.1.1 02020.cd29.72cO
Перед тем как начать тестирование конфигурации, очистите кэш ARP всех мар-
маршрутизаторов, обрабатывающих трафик, направленный к брандмауэру PIX Firewall
или от него, а также трафик между брандмауэром и Internet. В маршрутизаторах Cisco
для этого применяется команда clear arp. Эта команда не предполагает вывода дан-
данных. Применение команды clear arp иллюстрируется в примере 9.9.
Глава 9. Возможности PIX Firewall 333

Pixfirewall(config)jf clear arp
Pixf irewall (conf ig) if
Команда ping имя_интерфейса 1р_адрес
Чтобы проверить связь брандмауэра PIX Firewall с хостами в рамках соответст-
соответствующих интерфейсов, можно использовать команду ping, обращаясь к интерфейсам
по именам. Это особенно удобно, когда возникают сомнения в надежности связей.
Команда ping при работе с брандмауэром PIX Firewall не предоставляет
"расширенную информацию", как при работе с маршрутизаторами, но подобная ин-
информация может быть получена с помощью команды debug, которую мы рассмотрим
немного позже. Использование команды ping иллюстрируется в примере 9.10.
Замечание
Команда ping брандмауэра PIX Firewall не может проверять его глобальные адреса.
Аргумент иш_интерфейса не используется с брандмауэрами PIX Firewall версии 5.1.2 и
более поздних версий.
Pixfirewall(config)jf ping inside 10.1.2.2
10.1.2.2 response received - 2OMs
10.1.2.2 response received - 2OMs
10.1.2.2 response received - 2OMs
Команда debug icmp trace
Данная команда предназначена для того, чтобы проверить связь и убедиться, что
данные правильно передаются через брандмауэр PIX Firewall. Использование команды
debug icmp trace иллюстрируется в примере 9.11.
Pixfirewall(config)jf debug icmp trace
ICMP trace on
Pixfirewall(config)jf ping inside 10.1.2.2
ICMP echo request (len 32 id 1 seq 512) 10.1.1.3 > 10.1.2.2
ICMP echo reply (len 32 id 1 seq 256) 10.1.2.1 > 10.1.1.3
Команда debug packet
Команду debug packet применяют для проверки трафика пакетов ICMP, TCP и UDP.
Просмотреть вывод этой команды можно только с консольного порта. Данная команда
может быть полезна при решении проблем сетевой связности, но при ее использовании
нужно быть предельно осторожным: в связи с большими объемами данных, генерируемых
этой командой, имеется вероятность прекращения сеансов Telnet пользователей, которые
334 Часть IV. Настройка CiscoSecure PIX Firewall

будут подключены к сети в этот момент. Пример 9.12 иллюстрирует применение команды
debug packet, которая в данном случае захватывает весь трафик, направляемый Web-
серверу с IP-адресом 10.1.1.5 в рамках границы брандмауэра PIX Firewall.
! Пример 9.12. Применение команды debug packet
Pixfirewalljf debug packet outside dst 10.1.1.5 proto tcp dport 88 hot
В примере 9.13 показан вариант вывода команды debug packet при наблюдении
трафика NetBIOS.
1
PACKET
— IP —
10.1.2.2 ==> 192.168.2.11
ver = 0x4 hlen = 0x5 tos = 0x0 tlen = 0x60
id = 0x3902 flags = 0x0 frag off=0x0
ttl = 0x20 proto=0xll chksum = 0x5885
- - UDP - -
source port = 0x89 dest port = 0x89
len = 0x4c checksum = ОхабаО
- - DATA - -
00000014: 00 01 00 00j
00000024: 00 00 00 01 20 45 49 45 50 45 47 45 47 45 46 46| . EIEPEGEGEFF
00000034: 43 43 4e 46 41 45 44 43 41 43 41 43 41 43 41 43j CC
NFAEDCACACACAC
00000044: 41 43 41 41 41 00 00 20 00 01 CO 0C 00 20 00 011 AC
AAA
00000054: 00 04 93 eO 00 06 60 00 01 02 03 04 00] .\Q
END OF PACKET
Методика тестирования
В предыдущих разделах обсуждались команды, необходимые для поиска неисправ-
неисправностей. Теперь соберем все разрозненные сведения и соединим их в одно целое. Что-
Чтобы выяснить, правильно ли функционирует брандмауэр PIX Firewall, выполните сле-
следующие рекомендации.
1. Начните с команд отладки. Войдите в режим конфигурации и введите команду
debug trace icmp, чтобы наблюдать результаты проверки брандмауэра PIX
Firewall. Кроме того, с помощью команды logging buffered debugging активизи-
активизируйте регистрацию syslog, чтобы видеть результаты запросов ping или информа-
информацию об отказе. Сообщения команды debug отображаются на экране консоли. Со-
Сообщения syslog можно увидеть с помощью команды show logging.
Перед тем как применить команду debug, используйте команду who, чтобы выяс-
выяснить, есть ли активные сеансы Telnet, подключенные к консоли. Если команда
debug обнаружит такой сеанс Telnet, она автоматически направит вывод этому сеан-
сеансу Telnet вместо консоли. В результате будет казаться, что сеанс консоли не выво-
выводит данные, тогда как в действительности вывод будет направлен сеансу Telnet.
Глава 9. Возможности PIX Firewall 335

2. Выполните опрос окружения брандмауэра PIX Firewall. Опросите с брандмауэра
PIX Firewall хосты и маршрутизаторы по каждому интерфейсу. Чтобы обратиться
с брандмауэра PIX Firewall к другим сетевым устройствам, можно использовать
команды следующего вида,
ping inside 10.1.1.1
ping dmz 192.168.11.3
ping outside 192.168.1.2
Затем опросите интерфейсы брандмауэра PIX Firewall с компьютера или маршру-
маршрутизатора, соединенного с брандмауэром. Если опросить интерфейсы брандмауэра
PIX Firewall с хоста или маршрутизатора не удается, проверьте сообщения debug,
которые должны отображаться на экране консоли.
Например, при опросе внешнего интерфейса с хоста 192.168.255.2 внешней сети,
можно видеть следующий вывод debug.
ICMP echo request (len 32 id 1 seq 512) 192.168.255.2> 192.168.1.1
ICMP echo reply (len 32 id 1 seq 256) 192.168.1.1 > 192.168.225.2
Запрос и ответ должны показать, что брандмауэр PIX Firewall и хост реагируют на со-
сообщения. Если при опросе интерфейса эти сообщения не появляются, значит, суще-
существуют проблемы маршрутизации между хостом или маршрутизатором и брандмау-
брандмауэром PIX Firewall, из-за которых пакеты опроса (ICMP) не достигают брандмауэра.
Решить эту проблему можно с помощью следующих действий.
• Убедитесь, что для внешнего интерфейса есть команда route, применяемая
по умолчанию. Она может иметь следующий вид (в данном случае указан
соседний маршрутизатор).
Pixfirewall(config)# route outside 0 0 192.168.1.2 1
• С помощью команды show conduit убедитесь в том, что в конфигурации указана
команда conduit permit icmp any any. Добавьте эту команду, если ее нет.
• Для всех интерфейсов, кроме внешнего, убедитесь, что по каждому интер-
интерфейсу брандмауэр PIX Firewall является шлюзом по умолчанию для хоста
или маршрутизатора. При этом в качестве шлюза по умолчанию для хоста
выберите маршрутизатор, а для маршрутизатора — брандмауэр PIX Firewall.
• Проверьте, не находится ли маршрутизатор между хостом и брандмауэром
PIX Firewall. В этом случае убедитесь, что маршрут по умолчанию в маршру-
маршрутизаторе указывает на интерфейс брандмауэра PIX Firewall. Если между хос-
хостом и брандмауэром размещается концентратор, убедитесь, что он не имеет
модуля маршрутизации. Если такой модуль есть, направьте маршрут по
умолчанию к брандмауэру PIX Firewall.
• Перейдите к брандмауэру PIX Firewall и воспользуйтесь командой show
interface для проверки того, что интерфейс функционирует, а кабели подклю-
подключены правильно. Если на дисплее отображается строка "line protocol is up", зна-
значит, используется нужный кабель и он правильно подключен к брандмауэру.
Если на дисплее появляется строка "is up", то интерфейс готов к работе. Если
отображаются обе фразы, то проверьте строки, содержащие "packets input" и
"packets output" (прием и передача пакетов). Если пакеты принимаются и пере-
передаются, брандмауэр PIX Firewall настроен правильно, а кабель подключен.
• Проверьте надежность соединения всех сетевых кабелей.
336 Часть IV. Настройка CiscoSecure PIX Firewall

3. Проверьте связь через брандмауэр PIX Firewall. Проверив доступность внутрен-
внутреннего интерфейса брандмауэра, попытайтесь проверить доступ через брандмауэр к
хосту на другом интерфейсе, например внешнем. Если на соответствующем ин-
интерфейсе компьютеров нет, проверьте маршрутизатор. Если проверка не удалась,
ознакомьтесь с сообщениями debug на экране консоли брандмауэра и убедитесь,
что как входящие, так и исходящие сообщения опроса действительно были полу-
получены. Если имеется только входящее сообщение, то хост или маршрутизатор не
реагирует. Проверьте, что команды nat и global имеют правильный вид, а хост
или маршрутизатор принадлежат той же подсети, что и внешний интерфейс.
4. Проверив возможность доступа с интерфейсов высших уровней безопасности к ин-
интерфейсам низших уровней (например, с внутреннего интерфейса к внешнему или с
внутреннего к ДМЗ), добавьте подходящие команды static и conduit, чтобы прове-
проверить доступ с интерфейсов низшего уровня к интерфейсам высшего уровня.
Пример конфигурации брандмауэра
PIX Firewall
Брандмауэр PIX Firewall можно настроить на выполнение функций защиты сети с
помощью всего нескольких основных команд. Дополнительные возможности могут
быть добавлены позже, в соответствии с политикой защиты.
Сетевая диаграмма, показанная на рис. 9.4, представляет две пользовательские сети
и призвана проиллюстрировать, как внутренние сети маскируются командами nat,
применяемыми в этом случае.
В примере 9.14 показаны команды, которые следует ввести в режиме конфигура-
конфигурации, чтобы создать базовую конфигурацию брандмауэра. Команды пронумерованы в
том порядке, в каком они должны вводиться с командной строки (это сделано для
того, чтобы на них было проще ссылаться при описании).
1. nameif ethernetO outside secO
2. nameif ethernetl inside seclOO
3. interface ethernetO auto
4. interface ethernetl auto
5. ip address inside 10.1.1.3 255.255.255.0
6. ip address outside 192.168.1.1 255.255.255.0
7. global (outside) 1 192.168.1.128-192.168.1.254 netmask 255.255.255.0
8. nat (inside) 1 0.0.0.0 0.0.0.0
9. route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
10. route inside 0.0.0.0 0.0.0.0 10.1.1.1 1
В этом примере строки 1 и 2 определяют имена интерфейсов Ethernet 0 (внешний) и
Ethernet 1 (внутренний), а также задают их уровни безопасности. Строки 3 и 4 указывают
скорость и параметры дуплексной связи сетевых интерфейсов. Строки 5 и 6 присваивают
IP-адреса внутренним и внешним сетевым интерфейсным платам. Строка 7 определяет
пул зарегистрированных IP-адресов, которые должны использоваться для исходящих со-
соединений. С помощью строки 8 разрешается трансляция адресов источников пакетов, вхо-
входящих в брандмауэр PIX через внутренний интерфейс, в адреса из пула, обозначенного
Глава 9. Возможности PIX Firewall 337

меткой 1. Если эти пакеты должны покинуть брандмауэр PIX через внешний интерфейс,
то для них следует использовать пул глобальных адресов, определенный в строке 7. Строки
9 и 10 задают маршруты по умолчанию для внутреннего и внешнего интерфейсов. Поле
метрика задает число транзитов от брандмауэра PIX Firewall до маршрутизатора; обычно
оно равно 1.
Маршрутизатор периметра 192.168.1.2
(внешний) 192.168.1.1
PIX Firewall
(внутренний) 10.1.1.3
10.1.1.1
10.1.2.1
Рис. 9.4. Базовый пример конфигурации бранд-
брандмауэра PIX Firewall
Внимание!
В брандмауэре PIX Firewall, имеющем более двух интерфейсов, маршрут по умолча-
умолчанию, направленный внутрь, использовать не следует. Вместо этого лучше установить
статические маршруты к внутренним сетям.
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Брандмауэр PIX Firewall обеспечивает полную проверку состояния соединений
на основе алгоритма ASA.
338
Часть IV. Настройка CiscoSecure PIX Firewall

• Существует только три возможности пропустить через брандмауэр PIX Firewall
данные, приходящие извне: посредством алгоритма ASA, сквозной опосредо-
опосредованной аутентификации или создания статических карт и каналов.
• Сквозная опосредованная аутентификация преодолевает ограничения скорости
обмена, характерные для прикладного уровня, перемещая поток данных сеанса
на сетевой уровень сразу же после завершения процедуры аутентификации.
• Брандмауэр PIX 515 поддерживает до шести интерфейсов Ethernet (но только
Ethernet).
• Брандмауэр PIX 520 поддерживает до шести интерфейсов Ethernet, до четырех
интерфейсов Token Ring, до двух интерфейсов FDDI, а также допускает комби-
комбинацию Ethernet и Token Ring.
• Для команд администрирования брандмауэра PIX Firewall существует три уров-
уровня доступа: непривилегированный, привилегированный и конфигурационный.
• Назначение уровней безопасности интерфейсам брандмауэра PIX Firewall позволяет
администратору "разделить" сегменты сети, различаемые по степени риска.
• Команды nat и global позволяют использовать удобные схемы зарезервирован-
зарезервированной адресации RFC во внутренней сети, оставляя возможность сетям с зарезер-
зарезервированными адресами соединяться с Internet через один зарегистрированный
внешний адрес.
• Брандмауэр PIX Firewall имеет богатый набор команд debug, которые помогают
администраторам решать проблемы связности на разных уровнях.
Практическое занятие. Настройка
трансляции сетевых адресов
в брандмауэре PIX Firewall
Это практическое занятие иллюстрирует возможности настройки и тестирования
брандмауэра PIX Firewall в сети гипотетической компании XYZ. Рассмотрите план прак-
практического занятия, изучите топологию соответствующей части сети и политику защиты, а
затем проанализируйте пример конфигурации, чтобы увидеть, как элементы политики за-
защиты реализуются в терминах команд настройки сетевых устройств Cisco.
План практического занятия
Компания XYZ приобрела брандмауэр Cisco PIX Firewall, чтобы обеспечить защиту
внутренней сети от нарушителей. Вашей первой задачей является создание базовой
конфигурации брандмауэра.
По завершении ввода команд конфигурации брандмауэра PIX, необходимо прове-
проверить настройки с помощью команд, описанных в разделе "Тестирование конфигура-
конфигурации брандмауэра PIX Firewall". По сути, вам нужно сделать следующее.
• Начните с команд отладки.
• Проверьте (с помощью команд опроса) доступность элементов брандмауэра и
его окружения.
Глава 9. Возможности PIX Firewall 339

• Убедитесь в том, что для внешнего интерфейса указан маршрут, используемый
по умолчанию.
• С помощью команды show conduit убедитесь в том, что в конфигурации при-
присутствует команда conduit permit icmp any any.
• Для всех интерфейсов, кроме внешнего, позаботьтесь о том, чтобы по каждому
интерфейсу брандмауэр PIX Firewall был шлюзом по умолчанию для хоста или
маршрутизатора.
Топология
На рис. 9.5 показана часть сети XYZ, которая будет рассмотрена в ходе этого прак-
практического занятия. Главным объектом внимания здесь является реализация политики
защиты, обеспечивающей безопасность сети посредством трансляции сетевых адресов
и размещения общедоступных серверов во внутреннем сегменте сети (с помощью ко-
команд static и conduit).
Маршрутизатор периметра 192.168.1.2
web-сервер
ДМЗ
192.168.11.3
Рис. 9.5. Топология сети компании XYZ дм брандмауэра PIX Firewall
340
Часть IV. Настройка CiscoSecure PIX Firewall

Политика сетевой защиты
Политика сетевой защиты, которую собирается реализовать компания XYZ, вклю-
включает следующее.
• Использование средств трансляции сетевых адресов для перевода внутренних
IP-адресов в зарегистрированные внешние IP-адреса.
• Размещение серверов, предлагающих общедоступные сервисы Internet, в физи-
физически изолированном сегменте сети (ДМЗ) с целью максимальной защиты.
• Разрешение внутренним пользователям иметь доступ к серверам Internet, раз-
размещенным в ДМЗ.
Пример конфигурации брандмауэра PIX Firewall
Команды конфигурации, представленные в примере 9.15, позволяют настроить
брандмауэр PIX Firewall в соответствии с целями нашего практического занятия.
: Примера 9.15. Пример конфиг
nameif ethernetO outside securityO
nameif ethernetl inside securitylOO
nameif ethernet2 dmz security50
enable password 6RD5.96v/eXN3kta encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FIX1
interface ethernetO auto
interface ethernetl auto
interface ethernet2 auto
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
conduit permit icmp any any
conduit permit tcp host 192.168.1.10 eq www any
static (dmz,outside) 192.168.1.10 192.168.11.3 netmask 255.255.255.255
nat(inside) 10 0
global (dmz) 1 192.168.11.10-192.168.11.20 netmask 255.255.255.0
global (outside) 1 192.168.1.10 192.168.1.254 netmask 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
route inside 10.1.2.0 255.255.255.0 10.1.1.1
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Что такое фильтрация на основе информации о состоянии соединений?
2. Какая операционная система используется в брандмауэре PIX Firewall?
3. Какой процессор применяется в брандмауэре PIX Firewall?
Глава 9. Возможности PIX Firewall 341

4. Как в брандмауэре PIX Firewall обрабатываются входящие соединения?
5. Почему сквозная опосредованная аутентификация пользователей предпочтитель-
предпочтительнее стандартного proxy-сервера?
6. Что означает аббревиатура ASA?
7. Сколько интерфейсов может иметь брандмауэр PIX Firewall?
8. Какие операции будут выполнены в результате ввода следующих команд?
PIXx(config)f interface ethernetO auto
PIXx(config)f interface ethernetl auto
PIXx(config)f interface ethernet2 auto
9. В каком командном режиме выполняется команда show version?
10. В паре сообщающихся интерфейсов каким считается интерфейс с меньшим зна-
значением уровня безопасности?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения на практике соответствующих средств требуется более
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Трансляция сетевых адресов
Thomas A. Maufer. IP Fundamentals: What Everyone Needs to Know About Addressing &
Routing. Прекрасное описание истории TCP/IP. Раскрывает также некоторые вопросы
современного состояния TCP/IP, включая общее описание функционирования соот-
соответствующих протоколов.
Нарушения и хакеры
Bruce Sterling. Law and Disorder on the Electronic Frontier. Подробный обзор средств и ме-
методов, применяемых хакерами. История о некоторых наиболее известных "подвигах" хаке-
хакеров и о привлечении их к ответственности.
Stephen Northcutt. Network Intrusion Detection. Реальные примеры того, как хакерам
удавалось проникать в системы и устраивать там настоящие погромы. Содержит под-
подробное описание истории Кевина Митника (Kevin Mitnik) и помогает понять, что пы-
пытается сообщить вам ваша система обнаружения вторжений.
Интерфейс командной строки
Узел www.ccprep.com предлагает массу полезных советов и практических рекомен-
рекомендаций по использованию режимов командной строки брандмауэра PIX Firewall.
Сетевая защита
Страницы Cisco IOS Network Security предлагают рассмотреть вопросы сетевой за-
защиты с точки зрения администратора сети предприятия. Они содержат множество ва-
вариантов политики защиты и рекомендации по исправлению ошибок.
342 Часть IV. Настройка CiscoSecure PIX Firewall

Узел firewall.com предлагает обсуждение возможностей защиты, связанных с при-
применением брандмауэра, а также ссылки на другие информационные Web-узлы, по-
посвященные брандмауэрам и общим вопросам защиты.
Узел knowcisco.com освещает общие вопросы функционирования сетей и предлагает
большой раздел, посвященный сетевой защите.
Другие ресурсы, посвященные сетевой защите
Узел консорциума WWW (World Wide Web Consortium, www.w3.org/Security) содер-
содержит все, что вы хотели бы знать о Internet, защите Web и многом другом.
Центр знаний Web-узла компании Entrust Technology (www.ecerts.com) предлагает
обсуждение различных аспектов технологии, применяемой в сфере электронной ком-
коммерции в Internet. Содержит большой раздел "белой книги", посвященный таким те-
темам, как PKI (Public Key Infrastructure — инфраструктура открытых ключей), крипто-
криптография и общая защита компьютерных данных.
Глава 9. Возможности PIX Firewall 343

Изучив материал даннойхйвь!, вшйЙожси; ьыполшпь сл
я" входящи
• Настроить сред
PIX Firewall. ^
брандмауэр
• Ограничить ^входящий гЧрафик из Internet с помощью административных
средств.*""'^ j|"
Разрещить^движение трафика от хосиЩЩбй сети к хост|кдругой (поддержка
вери1В соответствиврыгюлняемых брандмауэром PUKFirewaU, функций це-
полЛики заишЙ^шпании. \ ^ ^^

Глава
Ю
Настройка доступа через PIX
Firewall
...Ограничение доступа к защищенной сети является лишь одной из целей системы
эксперты защиты скажут вам, что для безопасности любой сетевой
Зычного офиса, так и большой корпорации и даже военной базы —
контроль Шюдащго потока данных не менее важен, чем контроль входящего.
этой щаверйясняется, как настроить брандмауэр PIX Firewall, чтобы обеспечи-
валса^болеЙстротаШуровень контроля по сравнению с тем, который создается мето-
дамидйасдмотренййМИ в главе 9. Здесь описывается, как с помощью настроек бранд-
брандмауэраrPIX FirewallipllfpeuiHTb доступ с конкретных внешних узлов к внутренним.
астррика^управления исходящим
}ыбор подходащегсш?»1етода настройки управления исходящим доступом может
оказаться достаточно трудной задачей, напоминающей по сложности поиск иголки в
стоге сена^&годня перед сетевыми инженерами ставится непростая задача защиты
кордарягйтшой сети lip Щггоржений и других несанкционированных действий. При
^^создаваемая «Шв?и инженерами политика защиты должна быть достаточно
гибкой, чтобы зарегистрированные пользователи могли выполнять свои задачи с ми-
нишяьными неу^^ствМи. Сетевой инженер, которому не удается обеспечить и за-
защита-сети, и гиркь доступа пользователей, наверняка, потеряет работу.
(May^*PIXp^wall предлагает возможности, позволяющие относительно легко
атьЙГ модифицировать (а если требуется, то и отключать) средства управления ис-
хсдЙЩш*доступом^Это средства NAT (Network Address Translation — трансляция сетевых
~~ь~р6в) и PAT (PojiE|Sddress Translation — трансляция адресов портов), операторы conduit,
1ечивающиеШ№туп внешних сетей к хостам за брандмауэром, а также средства раз-
ряцения динадачйжого доступа через брандмауэр, позволяющие приложениям мультиме-
мультимедиа псшучат^рмдеофильмы и широковещательную информацию из Internet.
Ц Что^Йвыяснить, будет ли подходящим то или иное решение, необходимо четко
:онийать лежащие в его основе технологии и сравнить возможности, доступные в
1мках выбранного решения, с теми запросами, которые выдвигаются пользователя-
и. Брайр1аУэр PIX Firewall уникален тем, что он может удовлетворить очень широ-
Г

кий диапазон запросов. В этой главе предлагается обзор технологий, заложенных в
основу функционирования данного брандмауэра. Вы сможете выяснить, каким обра-
образом PIX Firewall удовлетворяет запросы пользователей современных корпораций. Бу-
Будут рассмотрены и команды, используемые при настройке брандмауэра PIX Firewall в
среде реального предприятия.
Средства NAT брандмауэра PIX
Средства NAT брандмауэра PIX Firewall позволяют частным сетям, соединенным с
Internet, использовать IP-классы, которые обычно таким сетям недоступны. С помо-
помощью этих средств обеспечивается доступ к Internet незарегистрированным клиентам
без перестройки всей схемы IP-адресации корпоративной сети. Эти средства позво-
позволяют также существенно расширить пространство адресов, доступных для использова-
использования во внутренней сети организации.
Когда внутренний хост инициирует создание исходящего соединения, средства
NAT транслируют IP-адреса внутренней сети в адреса, указанные командами global и
static. Трансляция адресов позволяет защищенной сети иметь любую схему IP-
адресации. Брандмауэр PIX Firewall защищает внутренние адреса, не позволяя видеть
их внешним сетям. PIX Firewall поддерживает стандартную схему NAT, определенную
в документе RFC 1631.
Основы функционирования брандмауэра PIX Firewall обсуждались в главе 9. В
данной главе рассматриваются вопросы создания и реализации стратегий двунаправ-
двунаправленной связи через брандмауэр. Для этого в брандмауэре PIX Firewall и используются
средства NAT.
Как уже говорилось в главе 9, средства NAT отображают внутренний адрес во
внешний зарегистрированный адрес, присвоенный брандмауэру. При этом и входной,
и выходной потоки контролируются средствами Cisco IOS (Internetwork Operating Sys-
System — операционная система Cisco для объединенной сети) брандмауэра PIX Firewall.
Существует три типа средств NAT, и все они имеют весьма гибкие возможности
настройки.
• Статические средства NAT. Эти средства используются тогда, когда адрес каждого
хоста В1гутренней сети статически (т.е. однозначно) отображается во внешний сете-
сетевой адрес. Поскольку процесс отображения в данном случае не является динамиче-
динамическим, администрирование такого процесса требует немалых усилий.
• Динамические средства NAT. Рассматриваемые средства перехватывают трафик,
идущий от хоста внутренней сети, и транслируют его во внешний зарегистри-
зарегистрированный IP-адрес из пула адресов, поддерживаемого брандмауэром PIX
Firewall. Информация о трансляциях сохраняется в таблице, чтобы имелась
возможность разрешить обратный трафик к внутреннему хосту.
• PAT. Средства PAT можно рассматривать как вариант NAT для портов. Трафик
идентифицируется и направляется по одному и тому же IP-адресу, присвоен-
присвоенному внешнему интерфейсу брандмауэра. Средства PAT отображают адреса ис-
источника соединений внутреннего хоста в один и тот же IP-адрес внешнего ин-
интерфейса. Брандмауэр PIX Firewall выбирает и присваивает пакетам (TCP или
UDP) новые номера портов источника. Данные процесса отображения номеров
портов сохраняются брандмауэром PIX Firewall, чтобы обеспечить прохождение
обратного трафика.
346 Часть IV. Настройка CiscoSecure PIX Firewall

Настройка NAT для контроля исходящего доступа
В этом разделе рассматривается применение средств NAT к трафику, направлен-
направленному в сторону внешних сетей. Чтобы брандмауэр PIX Firewall выполнял трансляцию
внутренних адресов источника во внешние зарегистрированные адреса, назначенные
брандмауэру, применяются команды global (outside) и nat(inside).
Команда global имеет следующий синтаксис:
global 1{иия_интерфейса)} global_id глобальн_1р[-глобальн ip] [netmask глобальн_маска]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_интерфейса Имя внешнего сетевого интерфейса, где должны применяться глобальные адреса
global_id Положительное числовое значение, соответствующее значению, указанному в команде
nat, с которой связывается данная команда global. Может быть любым положитель-
положительным значением, не превышающим 2 147 483 647
глобальн_1р Задает глобальные IP-адреса, которые брандмауэр PIX Firewall использует для соеди-
соединений. Если внешняя сеть связана с Internet, то каждый глобальный IP-адрес должен
быть зарегистрирован в сетевом информационном центре (Network Information Cen-
Center- NIC). Можно описать диапазон IP-адресов, разделив их дефисом (-).
Можно создать оператор для PAT, указав один IP-адрес. Допускается только один такой опе-
оператор на интерфейс, но при этом может поддерживаться до 65535 объектов трансляции
netmask Предшествует аргументу глобалън_маска
глобальн_маска Определяет сетевую маску для адресов гло6алън_1р. Если имеются подсети, ис-
используйте для них маску типа 255.255.255.128. При соответствующем выборе диапа-
диапазона адресов и маски подсетей команда global не будет использовать широковеща-
широковещательные и сетевые адреса пула глобальных адресов. Например, если использовать
значение 255.255.255.224 и диапазон адресов от 209.165.201.1 до 209.165.201.30, то
широковещательный адрес 209.165.201.31 и сетевой адрес 209.165.201.0 не будут
включены в пул глобальных адресов
Синтаксис команды nat следующий:
nat [ (имя_иитерфейса)] nat_id локальн ip [маска [max_conns [em_limit] ] ] [norandomseq]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_интерфейса Указывает имя внутреннего сетевого интерфейса. Если интерфейс должен ассоцииро-
ассоциироваться со списком доступа, то имя_интерфейса должно быть интерфейсом с более
высоким уровнем защиты
nat_id Все команды nat с одинаковыми значениями nat_id относятся к одной группе nat.
Значение nat id является произвольным положительным числом от 0 до (примерно)
2 000 000 000 и может совпадать с идентификатором, используемым в командах
outbound и apply.
Используйте значение 0 с IP-адресами и сетевыми масками, для которых не требуется
трансляция
Глава 10. Настройка доступа через PIX Firewall
347

Параметр команды Описание
локалъи_1р Задает подлежащий трансляции IP-адрес внутренней сети. Можно использовать
0.0.0.0, чтобы позволить устанавливать исходящие соединения всем хостам. Значе-
Значение 0.0.0.0 можно сократить до О
маска Указывает сетевую маску для локальн_1р. Можно использовать 0.0.0.0, чтобы разрешить
трансляцию всех исходящих соединений с помощью пула глобальных IP-адресов
max_conns Определяет максимальное число TCP-соединений с указанного интерфейса
em_limit Определяет предельное число зарождающихся соединений. По умолчанию использу-
используется значение 0, означающее отсутствие ограничений. Выбирайте меньшие значения
для медленных систем и большие для быстрых
norandomseq Запрещает рандомизацию порядковых номеров TCP-пакетов. Используйте этот пара-
параметр только в тех случаях, когда рандомизация выполняется другим брандмауэром и в
результате комбинации соответствующих функций искажаются данные. Применение
этого параметра открывает брешь в системе защиты брандмауэра PIX Firewall
Первым шагом на пути использования средств NAT является применение команды
global, указывающей адреса, которые будут включены в пул внешних глобальных ад-
адресов, поддерживаемый брандмауэром PIX Firewall для трансляции (пример 10.1).
Pix(config)» global (outside) 1 192.168.1.128-192.168.1.254
Число 1, указанное после команды outside, является идентификатором (global id),
зависящим от того, сколько внутренних сетей будет использовать пул глобальных ад-
адресов. В данном случае трансляция должна выполняться только для одной внутренней
сети, поэтому можно указать значение 1. Если трансляция требуется для большего
числа сетей, можно выбрать значение от 2 до 2147483647. Это значение определяет
связь команд global и nat.
Вторым шагом является непосредственное применение команды nat, как показано
в примере 10.2.
андываЬ к внутренним!
Pix(config)* nat (inside) 1 10.1.0.0 255.255.0.0
В примере 10.2 все адреса внутренней сети 10.1.0.0 транслируются в глобальные
адреса, указанные командой global со значением параметра global id, равным 1. Если
необходимо транслировать дополнительные адреса, важно знать номер global_id, от-
отвечающий пулу глобальных адресов, используемому соответствующей командой nat.
Сетевая маска 255.255.0.0 говорит брандмауэру о том, что запросы на трансляцию сле-
следует выполнять только тогда, когда они исходят от сети ЮЛлс.х
Следующим шагом является понимание того, как команды nat и global работают в
реальных приложениях. На рис. 10.1 показано, в каких точках осуществляются этапы
трансляции.
1. Пользователь внутренней сети с IP-адресом 10.1.2.2 запрашивает ресурс Internet.
2. Запрос пользователя отображается в IP-адрес 192.168.1.128, выбранный из пула
доступных адресов, описанных командой global.
348
Часть IV. Настройка CiscoSecure PIX Firewall

3. Теперь соединение, исходящее от внутреннего адреса 10.1.2.2, представляется ис-
исходящим от IP-адреса 192.168.1.128.
2.
10.1.2.2
Рис. 10.1. Трансляция адресов внутренней сети в глобальные адреса
Пример конфигурации NAT
Теперь давайте рассмотрим следующий сценарий. Компания приобрела сетевой адрес
192.168.1.0/24 у локального поставщика услуг Internet, дающий возможность использова-
использования до 254 индивидуальных IP-адресов. Общее число внутренних хостов компании пре-
превышает 600, но в любой момент времени доступ к сети требуют не более 100 хостов.
Средства NAT транслируют внутренние IP-адреса в адреса, указанные командой
global, поддерживая защиту соединений с помощью брандмауэра. Команда nat ис-
используется совместно с командой global для того, чтобы активизировать функцио-
функциональные возможности NAT.
В примере 10.3 сначала создается глобальный пул из 106 зарегистрированных IP-
адресов, которые будут использоваться средствами NAT. (Можно определить до 256
пулов глобальных IP-адресов. Максимум равен одному набору IP-адресов сети класса
В или 255 сетям класса С, т.е. 65535 адресов.) Затем пул адресов используется кон-
конкретными командами nat. Команды nat указывают, какие внутренние сетевые адреса
должны транслироваться.
1римерЮ.З.
иеглобальноШ пула из 106 за
global (outside) 3 192.168.1.10-192.168.1.115
nat (inside) 3 10.1.0.0 255.255.255.0
nat (inside) 3 10.1.1.0 255.255.255.0
nat (inside) 3 10.1.2.0 255.255.255.0
nat (inside) 3 10.1.3.0 255.255.255.0
В примере 10.4 показан сокращенный вариант аналогичной настройки средств NAT.
ример 10.4. Быстрое создание глобального пула зарегистрированных
fif-:;;1'МГ':*1Р-адр(в«)В ДОЯ NAT^v:?"
global (outside) 3 192.168.1.10-192.168.1.115
nat (inside) 3 10.1.0.0 255.255.252.0
Первая строка этого примера (global (outside) 3 192.168.1.10-192.168.1.115) содер-
содержит ту же конфигурационную информацию, что и в примере 10.3. Эта строка использует
диапазон IP-адресов, вместо того чтобы задавать глобальные адреса по отдельности.
Глава 10. Настройка доступа через PIX Firewall
349

В примере 10.4 применяется более простой метод представления диапазонов под-
подсетей, используемых средствами NAT. Здесь используется одна строка с маской
255.255.252.0, предполагающей сравнение битов, в то время как в примере 10.3 пред-
предлагались четыре строки с маской 255.255.255.0. Эти методы эквивалентны и опреде-
определяют соответствие адресам хостов сетей с адресами от 10.1.0.0 до 10.1.3.0. Однако ва-
вариант конфигурации из примера 10.4 проще и короче.
Пример использования NAT О
Команда nat 0 позволяет отключить трансляцию адресов, чтобы некоторые внут-
внутренние IP-адреса оставались видны извне. Эта возможность оказывается полезной
тогда, когда в защищенной сети есть зарегистрированные IP-адреса, которые должны
быть доступны пользователям из Internet.
Необходимость использования команды nat 0 возникает, например, в случае, когда в
сети имеется Web- или почтовый сервер, которые должны быть доступны из Internet. Ко-
Команду nat 0 можно также использовать со списком доступа в маршрутизаторе периметра,
чтобы разрешить доступ к защищенной сети только определенным типам трафика портов
(например, для обмена данными между центром сертификации и виртуальной частной се-
сетью, использующей защищенные сертификаты для аутентификации).
Команда nat 0 может оказаться потенциальным источником проблем, если в част-
частной сети используются адреса, не являющиеся зарезервированными RFC-адресами,
поэтому перед использованием этой команды убедитесь, что ваша сеть имеет подхо-
подходящую структуру.
Замечание
Обе формы команды nat 0 могут потенциально вызывать проблемы, если IP-адрес
или адреса сети, объявляемые внутренними протоколами маршрутизации, являются
зарегистрированными адресами, принадлежащими кому-то другому. Сама по себе
команда nat 0 не отменяет действие ASA (Adaptive Security Algorithm — адаптивный
алгоритм защиты), а только потенциально разрешает видеть внутренние адреса
внешним наблюдателям. Единственной возможностью "обмануть" ASA для входящего
соединения является соответствующее использование операторов conduit.
При использовании в брандмауэре PIX Firewall более двух интерфейсов важно
помнить о том, что команда nat 0 отменяет трансляцию адреса источника, независи-
независимо от того, по какому из интерфейсов уходит пакет.
На рис. 10.2 сервер с адресом 172.16.1.4 должен оставаться видимым извне. Обыч-
Обычно, чтобы скрыть некоторый адрес от внешних наблюдателей, приходится использо-
использовать команды conduit и static. Поскольку в данном случае корпорация является
"владельцем" сети 172.16.1.x, можно оставить эту сеть открытой для Internet с помо-
помощью команды nat 0. Первым шагом при этом является применение команды, пока-
показанной в примере 10.5.
'. Пример 10.5. Применение команды NAT О к одному внутреннему адресу
j и ответное сообщение системы
Pix(config)t nat (inside) 0 172.16.1.4 255.255.255.255
nat 0 172.16.1.4 will be non-translated
350 Часть IV. Настройка CiscoSecure PIX Firewall

Бастионный
Маршрутизатор хост
периметра
192.168.1.2
щ
192.168.1.3
Брандмауэр PIX
(внешний) 192.168.1.1
(внутренний) 10.1.1.3
172.16.1.6
Сервер
документов
172.16.1.4
Web-сервер
172.16.1.5
FTP-сервер
Рис. 10.2. Применение NAT 0
Первая команда говорит брандмауэру о том, что только адрес, описанный данной
командой (адрес 172.16.1.4), не будет использовать сервис трансляции. Как показано в
примере 10.6, с помощью команды nat 0 можно вообще отказаться от трансляции
внутренних адресов.
{ Пример 10.6. Запрех^трансляции В1^г|ренйикадрёсов':'^
Pix{config)# nat (inside) 0 0 0
Если брандмауэр использует команду nat (inside) 0 0 0, то будут ли сервер FTP
(с адресом 172.16.1.5) и сервер документов A72.16.1.6) на рис. 10.2 видны внешнему
миру? Ответ на этот вопрос является положительным.
Все дело в нулях, которые следуют за ключевым словом nat. Вы уже знаете, что
первый 0 в команде nat 0 позволяет отключить трансляцию для соответствующих
внутренних IP-адресов, чтобы они были видны извне. Если для параметров локального
IP-адреса и маски сети указаны значения 0, то они интерпретируются как 0.0.0.0.
Воспринимайте 0, как сокращение значения 0.0.0.0, означающего учет всех вариантов.
Если необходимо сделать видимым только один адрес, то в командную строку сле-
следует ввести этот адрес и соответствующую маску, как показано в примере 10.7.
|Пример 10.7. Команда NAT 0, позволяющая видеть один адрес
Pix(config)* nat (inside) 0 172.16.1.5 255.255.255.255
Глава 10. Настройка доступа через PIX Firewall
351

Команда nat 0 говорит брандмауэру о том, что адрес 172.16.1.5 следует открыть для
внешнего мира.
Трансляция адресов портов
Средства PAT (Port Address Translation — трансляция адресов портов), часто назы-
называемые трансляцией типа "множество—один", отображают весь трафик внутренней се-
сети в один внешний IP-адрес.
Когда хост защищенной сети запрашивает ресурс, доступный через Internet, в таб-
таблицу NAT брандмауэра PIX Firewall добавляется соответствующая запись, которая со-
содержит следующую информацию о запросе:
• параметры трансляции локального адреса хоста в доступный глобальный адрес,
выбранный брандмауэром PIX Firewall;
• параметры трансляции номера порта, выбранного хостом, в случайный номер
порта, выбранный брандмауэром PIX Firewall.
Брандмауэр PIX Firewall сохраняет и использует данные трансляции для про-
проверки того, что запрос исходит изнутри защищенной сети. По завершении сеанса
соответствующая информация уничтожается. Ниже этот процесс будет рассмотрен
подробнее.
Средства PAT брандмауэра PIX позволяют расширить пул адресов компании на
основе использования следующих возможностей.
• Один внешний IP-адрес может использоваться для (приблизительно) 4000 внут-
внутренних хостов. (Теоретически предел превышает 64000, но на практике пре-
предельным оказывается значение 4000.)
• Реальные номера портов TCP отображаются в предписанные IP-адрес и номер
порта, если специальной командой static не указано иное действие.
• Внутренние адреса источника маскируются с помощью одного IP-адреса из пу-
пула глобальных адресов, поддерживаемого брандмауэром PIX Firewall.
Средства PAT могут использоваться совместно со средствами NAT, и при этом
адрес PAT является виртуальным адресом, отличным от адреса порта на внешнем
интерфейсе.
Не следует применять средства PAT при доступе через брандмауэр PIX Firewall к
приложениям мультимедиа. Такие приложения обращаются к конкретным портам и
могут вступать в конфликт со средствами отображения портов, используемыми в рам-
рамках PAT. В тех случаях, когда трафик порта должен сохранять свою конфигурацию,
можно использовать команду nat 0.
На рис. 10.3 показана схема сети, в которой средства PAT могут быть реализованы
в минимальной конфигурации. Компания XYZ имеет три зарегистрированных IP-
адреса. Маршрутизатору периметра, брандмауэру PIX Firewall и бастионному хосту
присваивается по одному из этих адресов (при этом бастионный хост обычно является
единственным хостом, доступным через Internet, и представляет собой Web-сервер
или сервер электронной почты).
Конфигурация PAT в условиях схемы, показанной на рис. 10.3, требует ввода пяти
команд, представленных в примере 10.8.
352 Часть IV. Настройка CiscoSecure PIX Firewall

Маршрутизатор
периметра
192.168.1.2
Бастионный
хост
192.168.1.3
Брандмауэр PIX
(внешний) 192.168.1.1
(внутренний) 10.1.1.3
Сбыт
Информационные
системы
Рис. 10.3. Пример использования PAT
Пример 10.8. Конфигурация PAT для внутренней сети 10.1.0.0 ;
Pix(config)! ip address (inside) 10.1.1.3 255.255.252.0
Pix(config)! ip address (outside) 192.168.1.1 255.255.252.0
Pix(config)! route (outside) 0 0 192.168.1.2 1
Pix(config)! nat (inside) 2 10.1.0.0 255.255.0.0
Pix(config)! global (outside) 2 192.168.1.4 netmask 255.255.252.0
Давайте выясним, что означают указанные здесь команды. Первая строка приписы-
приписывает IP-адрес 10.1.1.3 интерфейсу брандмауэра PIX Firewall, имеющему название
"внутренний" (inside); это интерфейс, связанный с защищенной сетью. Вторая строка
присваивает IP-адрес 192.168.1.1 интерфейсу брандмауэра PIX Firewall, имеющему на-
название "внешний" (outside); это интерфейс, который находится вне защищенной сети и
открыт для Internet. Третья строка сообщает брандмауэру о том, какой трафик разреша-
разрешается направлять через интерфейс 192.168.1.2 маршрутизатора периметра. При этом тра-
трафик, покидающий "внешний" интерфейс (IP-адрес 192.168.1.1), будет проверяться на
соответствие значениям, указанным в команде для IP-адреса и маски сети. В данном
случае приемлемым оказывается весь трафик, поскольку как для IP-адреса, так и для
маски сети указаны значения 0. (Не забывайте о том, что 0 является сокращением
0.0.0.0.) Четвертая строка присваивает NAT-идентификатор 2 внутренним хостам сети
10.1.0.0. Последняя строка помещает адрес 192.168.1.4 в пул глобальных адресов и сооб-
сообщает брандмауэру о том, что IP-адрес 192.168.1.4 должен использоваться сервисом
Глава 10. Настройка доступа через PIX Firewall
353

трансляции NAT только для исходящих сообщений из группы NAT с идентификатором
2 (сетевые адреса этой группы были определены в предыдущей строке).
Замечание
Параметр nat_id (идентификатор группы NAT), используемый в командах nat, застав-
заставляет брандмауэр интерпретировать все команды nat с одинаковыми номерами nat_id
как один объект, к которому должны применяться правила трансляции, указанные в
команде global с соответствующим значением global_id.
При использовании команд, показанных в примере 10.9, брандмауэр PIX Firewall
обнаружит, что первые три строки содержат одно и то же значение nat_id, и будет
рассматривать их как часть одной группы nat (в данном случае это группа 3).
, j-w-тг--
-_^T»_vfS
Пример 10.9. Использований аргумента ааЬ^^Ш
Pix(config)! nat (inside) 3 10.1.0.0 255.255.0.0
Pix(config)! nat (inside) 3 10.2.0.0 255.255.0.0
Pix(config)! nat (inside) 3 10.3.0.0 255.255.0.0
Pix(config)! global (outside) 3 192.168.1.4-192.168.1.5 netmask 255.255 252.0
Затем брандмауэр обратится к команде global и обнаружит, что она связана со
всеми командами nat из группы 3. Брандмауэр предоставит сервис трансляции исхо-
исходящего трафика только для элементов этой группы.
Очень важно учитывать порядок, в котором указываются команды конфигурации.
Команды, использующие параметры типа nat id, могут игнорироваться, если соответ-
соответствующие им другие команды сконфигурированы неправильно.
Трансляция NetBIOS
Протокол NetBIOS брандмауэра PIX Firewall особенно труден в использовании,
поскольку в нем применяются ассоциации с обычным английским языком. Протокол
TCP/IP требует десятичной нотации с точками-разделителями, поэтому он проще.
Протокол NetBIOS не предполагает маршрутизации по своей природе, поэтому при
использовании в IP-сетях для него требуется инкапсуляция.
Реализация NetBIOS при использовании NAT оказывается сложной, поскольку,
кроме заголовка IP, IP-адрес источника является частью заголовка NetBIOS. На сете-
сетевом уровне заголовок NetBIOS оказывается частью порции данных пакета IP.
На рис. 10.4 показано, что адреса источника и получателя (последние два элемента
в заголовке) хранятся в глубине заголовка пакета NetBIOS; это и является основной
причиной проблем при настройке трансляции. Брандмауэр PIX Firewall изменяет не
только заголовок IP, но и информацию об источнике, являющуюся частью заголовка
пакета NetBIOS. Если какая-то из этих частей пакета в процессе трансляции будет
повреждена, хост адресата отвергнет весь пакет.
Брандмауэры, использующие NAT и не имеющие встроенной поддержки NetBIOS,
транслируют IP-адрес только в заголовке IP. Когда пакет принимается Windows NT
Server, система сравнивает соответствующие два адреса. Если обнаруживается несов-
несовпадение, то пакет отвергается. Поэтому при обработке пакета NetBIOS брандмауэр
PIX Firewall транслирует IP-адреса и в заголовке IP, и в заголовке NetBIOS.
354 Часть IV. Настройка CiscoSecure PIX Firewall

Длина
XxEFFF
Команда
Данные 1
Данные 2
Коррелятор
передачи/ответа
Адрес
назначения
Адрес
источника
Заголовок пакета NetBIOS
Рис. 10.4. Структура заголовка пакета NetBIOS
В следующем примере мы выясним, как брандмауэр РГХ Firewall выполняет трансля-
трансляцию NetBIOS. Пакеты NetBIOS уникальны тем, что для них адрес источника присутствует
как в заголовке пакета IP, так и в части полезного груза NetBIOS. Брандмауэр PIX Firewall
должен заменить исходный адрес источника адресом, присвоенным интерфейсу брандмау-
брандмауэра. Эта операция скрыта от пользователя и обычно не порождает проблем. Иногда про-
проблемы с модифицированными пакетами возникают в системах Windows NT. При наличии
проблем система отвергает пакеты и требует их повторной передачи.
Давайте выясним, что происходит в этом случае.
1. Сеть настраивается на использование NetBIOS над IP.
2. Пользователь с адресом 10.1.1.14 отправляет данные внешнему серверу через
брандмауэр PIX Firewall.
3. Брандмауэр PIX Firewall выявляет пакет NetBIOS, прибывший от источника с ад-
адресом 10.1.1.14, изменяет адрес источника как в заголовке IP, так и в пакете дан-
данных NetBIOS на 192.168.1.12 и отправляет пакет дальше.
Данные трансляции, которая осуществляется в ходе этого процесса, записываются
в базу данных NAT, чтобы ответ на запрос можно было возвратить источнику запроса.
NetBIOS над IP очень удобно использовать как сетевой сервис, но из-за строгости
выдвигаемых при этом требований такой подход требует предельной осторожности.
Протокол NetBIOS также очень уязвим в отношении атак хакеров, поэтому перед его
использованием следует тщательно взвесить все за и против.
Контроль входящего и исходящего доступа
Предположим, что некоторая достаточно крупная компания решила обеспечить
себе более высокий уровень безопасности за счет усовершенствования политики
управления входящим/исходящим доступом. При этом не только повышается уровень
защиты сети, но и обеспечиваются некоторые возможности контроля пропускной
способности. При создании соответствующей политики защиты требуется ответить на
следующие вопросы.
• Каким внешним IP-адресам будет разрешен доступ к исходящим соединениям?
• Имеются ли сервисы или адреса URL, доступ внешних пользователей к кото-
которым следует ограничить?
• Следует ли запретить устанавливать исходящие соединения некоторым внут-
внутренним хостам?
Прежде чем начать настройку параметров входящего и исходящего доступа, важно ре-
решить, сколько свободы следует предоставить пользователям при доступе к сети. В этом
разделе обсуждаются две модели доступа (модели политики) — закрытая и открытая.
Глава 10. Настройка доступа через PIX Firewall
355

Открытая модель предоставляет пользователям максимальную (в разумных пределах)
свободу сетевого доступа. Вообще говоря, такая модель предоставляет пользователям сво-
свободу Web- и FTP-доступа, а также доступа к сервисам РОРЗ и SMTP электронной почты.
Открытая модель доступа обычно предлагается "квалифицированным пользователям", ко-
которым могут потребоваться специальные возможности доступа и которые имеют достаточ-
достаточный опыт для того, чтобы самостоятельно выбирать меры защиты (например, использо-
использовать собственный брандмауэр или систему разрешения доступа к файлам). Большинство
"квалифицированных пользователей" рассматривают такую дополнительную ответствен-
ответственность как неотъемлемую составляющую сетевой свободы. По умолчанию брандмауэр PIX
Firewall использует открытую модель для всего исходящего трафика.
Закрытая модель соответствует наиболее агрессивной политике защиты компании.
По существу, такая модель является реализацией подхода "запрещено все, что не разре-
разрешено явно". В таком окружении доступ Web и FTP осуществляется через прокси-сервер,
поддерживающий специальный список управления доступом. Чаще всего в этом случае
используется и фильтр управления доступом к содержимому Web. По умолчанию
брандмауэр PIX Firewall применяет закрытую модель для всего входящего трафика.
Эти примеры типичны по своей природе, но они не дают исчерпывающей харак-
характеристики методов управления доступом. При использовании любого ограничения
доступа пользователи могут сетовать на то, что их свобода слишком ограничена. В та-
такой ситуации лучшим решением является сначала наложить максимум офаничений, а
затем постепенно их ослаблять (по мере поступления запросов пользователей разре-
разрешить те или иные возможности).
Настройка исходящего доступа
Рассмотрим пример настройки исходящего доступа в частной сети, адрес которой дол-
должен транслироваться в открытый зарегистрированный IP-адрес. Команда global использу-
используется для того, чтобы указать адреса, входящие в пул глобальных адресов трансляции, а ко-
команда nat — чтобы указать сети, которые будут использовать этот пул глобальных адресов.
Для создания пула глобальных адресов и настройки параметров маршрутизации
брандмауэра PIX Firewall необходимо выполнить следующие действия.
1. Настроить средства NAT на использование области IP-адресов, указанной с по-
помощью команды global (outside).
Pix(config)i global (outside) 1 192.168.1.10-192.168.1.254 netmask
255.255.255.0
Pix(config)i nat (inside) 1 10.1.0.0 255.255.0.0
2. Ввести команду route (outside) 0.0.0.0 0.0.0.0 192.168.1.2 1, чтобы настроить
параметры маршрутизации, применяемые по умолчанию.
3. Проверить текущую конфигурацию средств NAT с помощью команды show nat.
При этом будет получен следующий вывод.
nat (inside) I 10.1.0.0 255.255.0.0 0 О
4. Записать текущую конфигурацию в флэш-память брандмауэра с помощью ко-
команды write memory.
5. Записать текущую конфигурацию для терминала с помощью команды write term.
6. После изменения настроек с помощью команд nat и global следует использовать
команду clear xlate, чтобы сделать глобальные IP-адреса доступными в таблице
адресов (см. следующую врезку).
356 Часть IV. Настройка CiscoSecure PIX Firewall

Внимание!
Команда clear xlate, вызываемая без параметров, полностью очищает таблицу nat. Если
необходимо удалить конкретный транслирующий объект (объект xlate), не забудьте вклю-
включить в строку clear xlate параметры локальн_1р и глобалън_1р, как показано ниже.
Pixi clear xlate 10.1.1.4 192.168.1.10
Настройка управления входящим доступом
Конфигурация нашего примера предполагает разрешение доступа к частной сети
извне. Это будет сделано с помощью команды conduit, открывающей защищенный
канал связи через брандмауэр, и команды static, гарантирующей, что этот канал ве-
ведет только к одному адресату.
Операторы статической трансляции и создания каналов должны быть такими, что-
чтобы трафик, исходящий от внутреннего сервера, всегда имел один и тот же адрес ис-
источника на внешнем интерфейсе брандмауэра PIX Firewall. После ввода приведенных
ниже команд необходимо проверить полученную конфигурацию с помощью опроса
(ping) сервера Windows NT (IP-адрес 10.1.1.4), размещенного за брандмауэром, с мар-
маршрутизатора периметра (IP-адрес 192.168.2.2). Это позволит выяснить, возвращаются
ли через брандмауэр ответы ICMP, соответствующие запросам ping.
При этом необходимо выполнить следующие действия.
1. Очистить таблицу трансляции с помощью команды clear xlate.
2. Указать параметры статической трансляции с внешнего интерфейса брандмауэра
PIX Firewall к внутреннему хосту с помощью команды static (inside, outside)
192.168.1.10 10.1.1.4 netmask 255.255.255.255. Эта команда разрешает доступ к
хосту с адресом 10.1.1.4 путем отображения его адреса в глобальный адрес
192.168.1.10 на внешнем интерфейсе.
3. С помощью команды conduit permit icmp host 192.168.1.10 host 192.168.2.2 echo-
reply создать канал, позволяющий запросам ping маршрутизатора периметра доступ к
системе Windows NT Server. Указанная команда создает портал, разрешающий прохо-
прохождение сообщений ping, исходящих от глобального адреса 192.168.1.10 и направлен-
направленных к внутреннему адресу 10.1.1.4. Команда static из п. 2 обеспечивает отображение
соответствующих двух адресов. Доступ ping разрешается только с маршрутизатора пе-
периметра. Другие внешние хосты не получат ответа на подобные запросы.
4. Активизировать мониторинг ICMP в брандмауэре PIX Firewall и маршрутизаторе
периметра с помощью команд debug icmp trace, debug ip packet и debug ip icmp.
5. Опросить Windows NT Server с маршрутизатора периметра, чтобы проверить на-
настройки трансляции. В примере 10.10 показано, каким при этом должен быть от-
ответ брандмауэра PIX Firewall.
Пример 10.10. Проверка результатов активизации debug icmp trace ;
11?М1.-.-."•.-,.¦¦. .¦¦.-.
Perimeterl> ping 192.168.1.10
PIXf
Inbound ICMP echo request (len 32 id 1 seq 9216)
192.168.1.2 > 192.168.1.10 > 10.1.1.4
Глава 10. Настройка доступа через PIX Firewall 357

Outbound ICMP echo reply (len 32 id 1 seq 9216)
10.1.1.4 > 192.168.1.10 > 192.168.1.2
Inbound ICMP echo request (len 32 id 1 seq 9216)
192.168.1.2 > 192.168.1.10 > 10.1.1.4
Outbound ICMP echo reply (len 32 id 1 seq 9216)
10.1.1.4 > 192.168.1.10 > 192.168.1.2
Inbound ICMP echo request (len 32 id 1 seq 9216)
192.168.1.2 > 192.168.1.10 > 10.1.1.4
Outbound ICMP echo reply (len 32 id 1 seq 9216)
10.1.1.4 > 192.168.1.10 > 192.168.1.2
Рассмотрим вывод команд debug icmp подробнее. Команда debug icmp trace по-
позволяет увидеть адреса, обрабатываемые в процессе трансляции. Обратите внимание
на то, как брандмауэр PIX Firewall обрабатывает запрос ping, продвигаясь от источни-
источника через внешний интерфейс к Windows NT Server (пример 10.11).
192.168.1.2 > 192.168.1.10 > 10.1.1.4
Трафик от маршрутизатора периметра A92.168.1.2) проходит к внешнему интер-
интерфейсу A92.168.1.10). Там команда conduit проверяет, кто направил трафик, какого он
вида и куда направлен. Затем команда static заставляет брандмауэр перенаправить
трафик к рабочей станции Windows NT A0.1.1.4) внутренней сети. Возвращается тра-
трафик по тому же пути (пример 10.12).
Пример 10.12. Трансляция адресов возвра
10.1.1.4 > 192.168.1.10 > 192.168.1.2 10.1.1.4
Приложения мультимедиа, поддерживаемые
брандмауэром PIX
Брандмауэр PIX Firewall поддерживает обширный и постоянно расширяющийся
список мультимедиа-приложений.
• RealAudio (Real Networks) — потоки аудиоданных
• Stream Works (Xing Technologies) — потоки видеоданных
• CuSeeMe (White Pines) — видеотелеконференции
• Internet Phone (Vocal Tec) — передача голосовых данных в сетях IP
• VDOLive (VDOnet) — потоки видеоданных
• NetShow (Microsoft) — потоки видеоданных
• Web Theatre 2 (VXtreme) — потоки видеоданных
• Internet Video Phone (Intel) — видеотелеконференции
• NetMeeting (Microsoft) — видеотелеконференции
• SQL*Net (Oracle) — связь клиент/сервер
358 Часть IV. Настройка CiscoSecure PIX Firewall

Брандмауэр PIX Firewall при работе с мультимедиа-приложениями предлагает возмож-
возможности, недоступные при использовании других брандмауэров. Например, это касается воз-
возможности динамически открывать и закрывать порты UDP для защищенных мультиме-
мультимедиа-соединений. Другие производители предполагают открытие больших диапазонов пор-
портов UDP, что потенциально создает риск нарушения защиты, или же назначение одного
конкретного порта для входящих мультимедиа-данных, что требует изменения конфигура-
конфигурации клиента. Брандмауэр PIX Firewall поддерживает мультимедиа с использованием или
без использования NAT. Некоторые брандмауэры не могут одновременно поддерживать
NAT и мультимедиа, что позволяет использовать мультимедиа только с зарегистрирован-
зарегистрированными адресами и оставляет внутренние адреса открытыми для Internet. Мультимедиа-
приложения требуют доступ к конкретным портам и могут конфликтовать со средствами
отображения портов (PAT). Причина конфликтов заключается в том, что программное
обеспечение воспроизведения аудио- и видеоданных ожидает поток данных с конкретного
порта и может отказать, если такой поток представлен портом с другим номером.
Если мультимедиа-приложение отказывается функционировать должным образом
после прохождения брандмауэра, можно попытаться решить проблему с помощью
команды established. После ввода этой команды брандмауэр разрешает весь возвра-
возвращающийся трафик TCP или UDP между клиентом и медиа-сервером, но только в те-
течение времени существования текущего ТСР-соединения.
Внимание!
Команда established может открыть большие и легко преодолимые бреши в бранд-
брандмауэре, поэтому обязательно используйте вместе с ней ключевые слова permitto и
permitfrom. Они минимизируют риск появления брешей портового доступа, открытого
с помощью команд conduit и static.
Команда established позволяет контролировать приложение, требующее множества со-
соединений с TCP- или UDP-портами. Ее рекомендуется использовать только с приложе-
приложениями Web Theater 2 и NetShow. Для других мультимедиа-приложений, поддерживаемых
брандмауэром PIX Firewall, необходимости в использовании команды established не воз-
возникает; это касается, в частности, RealAudio, VDO, Xing/VocalTech, H.323 и CuSeeMe.
Брандмауэр PIX Firewall поддерживает эти приложения с помощью усовершенствованного
мультимедиа-алгоритма ASA, который ни в коей мере не ослабляет защиту.
Синтаксис команды established следующий:
established протокол порт_назн_1 [permitto протокол [порт_назн_2[-порт назн 2]]]
[permitfrom протокол [порт источн[-порт_нсточн]]]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
протокол Определяет тип протокола IP — UDP или TCP
порт_назн_1 Указывает порт назначения, с которым требуется создать соединение
порт_назн_2 Указывает порт назначения, к которому брандмауэр PIX Firewall должен направить
обратное соединение
порт_источн Указывает порт источника на сервере, от которого исходит обратное соединение
permitto Разрешает входящие соединения с указанным портом или протоколом. Это ключевое
слово открывает только порт назначения
Глава 10. Настройка доступа через PIX Firewall 359

Параметр команды Описание
permitfrom Разрешает входящие соединения с указанного порта или протокола. При использо-
использовании с ключевым словом permitto обеспечивает более точную информацию о
порте источника. Если применяется только ключевое слово permitfrom, это озна-
означает запрос доступа с конкретного порта к любому порту
В примере 10.13 показан вариант использования команды established.
Пример 10.13. Применение команды е8\лЬ11аЬвй^Шл^-М^'б^^^гЩМл
Pix(config)iestablished tcp 1464 permitto tcp 1465 permitfrom tcp 3039
Управление доступом к внутренним
хостам
Важной задачей разработки стратегии сетевой безопасности является выбор проце-
процедур, позволяющих внешним объектам получить доступ к частной сети. В реальности
это не порождает больших проблем, как может показаться на первый взгляд, посколь-
поскольку каждый, кто хотя бы раз размещал Web-сервер или сервер электронной почты в
ДМЗ ("демилитаризованной" зоне), решал именно эту задачу. Использование ДМЗ
сегодня является типичным методом доступа к ресурсам, защищенным брандмауэром.
Брандмауэр PIX Firewall предлагает усовершенствованные возможности, которые еще
больше усиливают защиту, присущую конфигурации брандмауэр-ДМЗ.
Статическая трансляция
Если политика защиты требует, чтобы внешние пользователи могли иметь доступ к
серверам внутри защищенной сети, используйте команду static для указания IP-
адресов, доступных извне, и команду conduit для разрешения (или запрета) доступа к
ресурсам на основе номеров портов, протоколов и/или IP-адресов. При совместном
использовании эти две команды создают туннель доступа, движение по которому раз-
разрешается только трафику, удовлетворяющему условиям, указанным командой conduit.
Команда static создает статическое отображение локального IP-адреса в глобаль-
глобальный IP-адрес (называемое сегментом статической трансляции или объектом xlate).
Благодаря самой природе этого типа трансляции, брандмауэру PIX Firewall нет необ-
необходимости поддерживать базу данных состояний соединений или специальных метрик
сеансов, что означает меньшую нагрузку на брандмауэр.
Команда static
Команда static является очень гибкой и может использоваться для решения самых
разных задач. Статический адрес представляет собой постоянное взаимно однозначное
отображение зарегистрированного IP-адреса в локальный IP-адрес внутри защищенной се-
сети. Статические адреса рекомендуется использовать для хостов защищенной сети, которым
требуется иметь конкретные IP-адреса. Команда static может создавать отдельную функ-
функцию трансляции (регулярную статику) или обеспечивать трансляцию диапазона адресов
(сетевую статику). Данная команда аналогична статическому маршруту в таблице маршру-
маршрутизации в том смысле, что она настраивается вруч!гую и однозначно.
360 Часть IV. Настройка CiscoSecure PIX Firewall

Рассмотрим некоторые параметры этой команды и варианты их применения.
• Для исходящих соединений с помощью команды static можно указать адрес в
пуле глобальных адресов, который должен использоваться при трансляции ад-
адреса локального хоста в глобальный адрес (например, если при исходящем дос-
доступе для адреса 10.1.1.16 внутренней сети всегда следует использовать внешний
адрес 192.168.1.15).
• Для входящих соединений команду static можно использовать вместе с коман-
командой conduit, чтобы идентифицировать адреса, видимые извне (например, если
пользователям Internet требуется доступ к серверу внутренней сети, им предла-
предлагается внешний адрес, который транслируется во внутренний адрес, ведущий к
серверу через портал, созданный оператором conduit).
• Брандмауэр PIX Firewall может автоматически управлять всеми входящими и
исходящими запросами трафика. Отображение диапазона статик обеспечивает-
обеспечивается сетевой статикой. Сетевая статика может создать 256 статик одновременно,
если для адресов глобальн_1р и локальн_1р указаны значения 0.
Замечание
Для входящих соединений не следует использовать глобальный IP-адрес, создавае-
создаваемый командой global, поскольку это не позволит трафику достичь хоста назначения.
Команда static имеет следующий синтаксис:
static [(имя_ввутр_инт, иш_внешн_инт) ] глобальн_1р локальн_1р
[netmask маска] [max_conns [em_limit]] [norandomseq]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
имя_внутр_ннт Имя внутреннего сетевого интерфейса
нмя_внешн_инт Имя внешнего сетевого интерфейса
гло6алън_1р Глобальный IP-адрес для внешнего интерфейса. Этот адрес не может быть IP-адресом PAT
локальн_1р Локальный IP-адрес внутренней сети
netmask Играет роль зарезервированного слова, которое предшествует описанию сетевой маски
маска Указывает сетевую маску, имеющую отношение как к глобальн_1р, так и к локальн_1р
max_conns Определяет максимальное число соединений, разрешенных для всех интерфейсов.
Оно не должно превышать значения, указанного в вашей лицензии. Чтобы выяснить
максимальное число соединений, допустимых для вашего брандмауэра PIX Firewall,
используйте команду show conn. Чтобы указать точное число разрешенных соедине-
соединений, добавьте значение max_conns в операторы nat и static конфигурации
em_limit Определяет предел числа зарождающихся соединений. По умолчанию используется
значение 0, что означает отсутствие предела. Максимум зависит от имеющейся в
вашем распоряжении лицензии, а минимум равен 1. Общим правилом для выбора
данного значения является число разрешенных лицензией соединений, уменьшенное
на 30%. Например, при наличии лицензии на 1024 сеанса значение указанного па-
параметра можно выбрать равным 715. Это значение следует уменьшить для медлен-
медленных систем и увеличить для быстрых.
Глава 10. Настройка доступа через PIX Firewall 361

Параметр команды Описание
Параметр em_limit задает максимум для общего числа частично открытых соединений, что
предотвращает возможность проведения атак блокирования сервиса, в частности атак SYN.
(Атаки SYN предполагают отправку очень большого числа "фальсифицированных" запросов
соединений, чтобы система не справилась с их обработкой. При этом IP-стек очереди со-
соединений сети адресата оказывается переполненным и возникают отказы в обслуживании.
Более подробная информация по этому вопросу содержится в разделе "Защита от атак бло-
блокирования сервиса: атаки SYN".)
norandomseq Указывает, что рандомизация порядкового номера пакета TCP/IP не выполняется. Исполь-
Используйте это ключевое слово только в том случае, если случайные порядковые номера генери-
генерирует другой брандмауэр на линии и в результате этого искажаются данные. Применение это-
этого ключевого слова открывает брешь в системе защиты брандмауэра PIX Firewall
Команда static с ключевым словом netmask определяет область действия адресов,
которые будут отображаться между локальным и глобальным диапазонами IP. Вариант
использования ключевого слова netmask показан в примере 10.14.
Pix(config)* static (inside, outside) 192.168.0.0 10.1.0.0 netmask 255.255.0.0
Если адрес состоит только из нулей там, где маска сети равна 0, то он является сете-
сетевым адресом (называемым также сетевой статикой). Статики имеют приоритет по срав-
сравнению с парами команд nat и global, и это значит, что nat 10 0 предоставит исходя-
исходящий доступ только хостам, не указанным в операторе static. Представляйте это как
процедуру "сложения", выполняемую при вычислениях адресов подсетей.
Внимание!
Не создавайте статик с перекрывающимися IP-адресами, поскольку это может вызы-
вызывать проблемы трансляции.
Команды static и conduit должны быть настроены так, чтобы разрешить трафику,
исходящему от интерфейса с низким уровнем защиты (указанного командой nameif),
пройти через брандмауэр PIX Firewall к интерфейсу с высоким уровнем защиты. На-
Например, команды static и conduit должны разрешать входящие сеансы от внешнего
интерфейса к интерфейсу ДМЗ или от внешнего к внутреннему. Уровень защиты
(значение sec value) представляет собой числовое значение от 0 до 100, указанное ко-
командой nameif. Чем больше это число, тем выше уровень защиты (пример 10.15).
зня защиты с помощью команды nameif , „
'""" "ЬАМиШШ...Ш„^:^:^.^:Ш1 MJLJ
Pix(config)! nameif ethO2 inside securitylOO
Выбор правильной команды для различных по уровню защиты интерфейсов может
оказаться непростым делом. Следующие рекомендации помогут вам при выборе ко-
команд в том или ином окружении.
• Для соединения интерфейса, имеющего высший уровень защиты, с интерфей-
интерфейсом, имеющим относительно низкий уровень защиты, следует использовать
команду nat с соответствующей командой global.
362 Часть IV. Настройка CiscoSecure PIX Firewall

• Для соединения интерфейса, имеющего низкий уровень защиты, с интерфейсом,
имеющим более высокий уровень защиты, следует использовать команду static.
Замечание
Для упрощения процесса настройки при наличии множества интерфейсов периметра,
в командах alias, apply, conduit, global, mailhost, nat и static можно дополнитель-
дополнительно указать имена интерфейсов. Указываемое в команде имя интерфейса должно быть
заключено в круглые скобки.
Пример статического отображения
Что делает статическое отображение? Можно ли увидеть то, что происходит в дей-
действительности? На эти вопросы можно ответить с помощью примера.
Предположим, что была введена следующая команда.
Pix(config)* ip address (outside) 192.168.1.1 netmask 255.255.255.0
Эта команда присваивает внешнему интерфейсу брандмауэра PIX Firewall имя
"outside" (внешний) и IP-адрес 192.168.1.1. Для дальнейшего анализа важно пони-
понимать, откуда берется адрес источника.
В примере, показанном на рис. 10.5, любой пакет, исходящий от станции клиента
10.1.1.101, на выходе из брандмауэра PIX Firewall представляется (внешнему миру) ис-
исходящим от IP-адреса 192.168.1.1
Маршрутизатор
периметра
Бастионный
хост
192.168.1.2
Брандмауэр PIX
192.168.1.3
(внешний) 192.168.1.1
(внутренний) 10.1.1.3
Станция-клиент
10.1.1.101
Рис. 10.5. Пример статического отображения
Команда static создает статическое отображение (т.е. объект xlate — статический
сегмент трансляции) локального IP-адреса в зарегистрированный NIC-адрес IP. При
этом можно создать как отдельное отображение (статику), так и диапазон статик, на-
называемый сетевой статикой. Такой тип статик рекомендуется для хостов внутреннего
сервиса (например, серверов DNS, электронной почты или Web). Опции ограничения
числа соединений задают максимум для числа соединений, а предел для зарождаю-
зарождающихся соединений (em_limit) ограничивает число незавершенных соединений. Значе-
Глава 10. Настройка доступа через PIX Firewall
363

ние max_conns, ограничивающее общее число соединений для всех интерфейсов, при-
применяется как к внутренним, так и к внешним интерфейсам.
Вариант применения команды static показан в примере 10.16.
Пример 10.16. Применение команды static
Pix(config)#static (inside, outside) 192.168.1.11 10.1.1.101
Здесь от брандмауэра PIX Firewall требуется отображение всего трафика узла
10.1.1.101 в зарегистрированный адрес 192.168.1.11 при прохождении этого трафика че-
через внешний интерфейс брандмауэра. Статики, определенные в конфигурации, можно
отобразить на экране с помощью команды, показанной в примере 10.17.
Проверка статик, определенных в i
Pixjf show static
static (inside,outside) 10.1.1.101 192.168.1.11 netmask 255.255.255.255 0 0
Настройка сетевых статик
В условиях сетевой структуры компании XYZ, показанной на рис. 10.6, необхо-
необходимо создать диапазон статик для сети 10.1.1.0. Для этого предполагается использо-
использовать сетевые статики, чтобы не вводить каждый статический маршрут для внутрен-
внутренней сети вручную.
Сетевая статика может задавать до 256 статик сразу. Если значения глобалън_1р и
локалън_1р определяют сетевые адреса (идентификатор хоста равен 0), то сетевые ста-
статики создаются для всего диапазона IP-адресов, доступных в данном классе. Для каж-
каждого адреса определяется взаимно однозначное соответствие между глобальным и ло-
локальным адресами.
Команда static, используемая для создания сетевой статики, охватывает все IP-
адреса, доступные для описанного класса, если и для глобального, и для локального
IP-адресов в качестве идентификатора хоста указано значение 0. По умолчанию ко-
команда static выполняет объединение адресов.
На рис. 10.6 каждый адрес внутренней сети 10.1.1.0 статически отображается в со-
соответствующий адрес внешней сети 192.168.11.0. В примере 10.18 показан вариант
команды, осуществляющей такое отображение.
1.18. Создание сетевой статики
Pix(config)» static 192.168.11.0 10.1.1.0 netmask 255.255.255.0
Поскольку соответствующие байты и IP-адреса, и сетевой маски равны 0, бранд-
брандмауэр PIX Firewall интерпретирует это как указание создать сетевую статику.
Замечание
И обычные статические трансляции, и сетевые статики используют команды одинако-
одинаковой структуры. Разница между ними заключается в том, что сетевые статики исполь-
используют адреса хостов, равные 0, что означает применение диапазона адресов хостов, а
обычные статики — конкретные адреса источника и получателя.
364 Часть IV. Настройка CiscoSecure PIX Firewall

Маршрутизатор
периметра
Зарегистрированные IP-адреса:
192.168.1.10-192.168.1.254
192.168.1.2
Брандмауэр PIX j
(внутренний) 10.1.1.3
10.1.1.0
10.1.1.5
10.1.1.6
10.1.1.7
10.1.1.8
10.1.1.9
Рис. 10.6. Пример использования сетевой статики
Команда conduit
Команда conduit открывает определенный порт брандмауэра и разрешает потоку
данных извне пройти к указанной подсети или хосту внутренней сети (обычно такой
хост размещается в ДМЗ). Может оказаться удобным разместить в ДМЗ Web-сервер
или сервер электронной почты, если по некоторым причинам к ним требуется доступ
пользователей из Internet.
Команда conduit разрешает или запрещает соединениям, являющимся внешними
для брандмауэра PIX Firewall, получить доступ к сервисам TCP/IP хостов внутренней
сети. С помощью команды conduit создается исключение для алгоритма ASA бранд-
брандмауэра PIX Firewall, разрешающее соединения с одного сетевого интерфейса к хостам
другого. Начиная с брандмауэра PIX Firewall версии 4.2, команда conduit может ис-
использовать глобальные адреса, созданные командами global и static.
Команду conduit можно связать с глобальными адресами команд global и static, в ча-
частности с одним глобальным адресом, диапазоном глобальных адресов или всеми глобаль-
глобальными адресами. Соответствующий канал может быть создан также для диапазона адресов
хостов, указанного одним статическим оператором, называемым сетевой статикой.
Можно иметь столько каналов, сколько необходимо. При совместном использова-
использовании команд static и conduit соответствующие каналы будут использоваться только с
Глава 10. Настройка доступа через PIX Firewall
365

идентификаторами хостов, указанными командой static. Применив команду conduit
с префиксом по, можно удалить канал.
Синтаксис команды conduit следующий:
conduit {permit | deny} протокол глобальн_лр глобальн_маска
[ оператор порт [ порт] ] внешн_1р внешн_маска
[оператор порт [порт]] оператор
conduit permit | deny icmp глобалън_1р глобальн_маска внешн ip
внешн_маска хсшр_тнп
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
permit
deny
протокол
icmp
глобальн_1р
гпобалън маска
оператор
порт
внешн ip
Разрешает доступ при выполнении условий
Запрещает доступ при выполнении условий
Указывает транспортный протокол соединения. Возможными буквенными значениями явля-
являются eigrp, gre, icmp, igmp, grp, ip, ipinip, nos, ospf, tcp, udp; допустимы также
целочисленные значения из диапазона 0-255, представляющие номер IP-протокола. Ис-
Используйте ip, чтобы указать все транспортные протоколы
Разрешает или запрещает доступ ICMP к одному или нескольким глобальным
IP-адресам. Укажите ICMP-тип с помощью аргумента icmp_Tnn или опустите этот ар-
аргумент, чтобы указать все типы ICMP
Задает IP-адрес из глобального пула адресов, связываемый сданным каналом. Этот
адрес может принадлежать классу А, В или С
Задает сетевую маску для адреса rno6anhH_ip\ является 32-битовым значением в
десятичном формате с точками-разделителями (например, 255.255.255.255). Исполь-
Используйте нули для битовых позиций, которые должны игнорироваться. Если требуется,
применяйте подсети.
Если для параметра rno6anhH_ip используется значение 0, применяйте 0 и для па-
параметра глобалън_маска. В других случаях указывайте значение, подходящее для
значения rno6anbH_ip
Используется для описания порта или диапазона портов. Возможными значениями являются
eq, It, any, gt, neq и range. Чтобы указать все порты, используйте оператор по и port
Указывает сервисы, которые разрешается использовать при доступе к глобал?н_1р.
Сервисы определяются связанными с ними портами, например 25 -для SMTP, 80 -
для HTTP и т.д. @ означает любой порт). Значения портов определены в документе
RFC 1700. Допустимыми буквенными значениями являются dns, esp, ftp, h323,
http, ident, nntp, ntp, pop2, рорЗ, pptp, rpc, smtp, snmp, snmptrap, sqlnet,
tcp, telnet, tf tp и udp. Подобным образом можно указывать и диапазоны портов,
например ftp-h323. Можно указывать и номера портов
Определяет внешний IP-адрес (хоста или сети), которому разрешается доступ к гло-
бапън ip. Можно указать 0.0.0.0 или 0, что означает любой хост. Если и внешн_1р, и
внешн_маска равны 0.0.0.0, можно использовать команду сокращения any, примени-
применимую ко всем интерфейсам.
Если внешн ip задает адрес хоста, значение внешн маска можно опустить, указав
перед внешн^р ключевое слово host
366
Часть IV. Настройка CiscoSecure PIX Firewall

Параметр команды Описание
внешн_маска Определяет сетевую маску для mem_ip\ представляет собой 32-битовое значение в
десятичном формате с точками-разделителями (например, 255.255.255.255). Используй-
Используйте нули для битовых позиций, которые должны игнорироваться. Если требуется, приме-
применяйте подсети.
Если для параметра внешн ip используется значение 0, укажите 0 и для параметра
внешн_маска, иначе необходимо ввести значение, соответствующее значению внешн_1р
На рис. 10.7 показано, что прокси-серверу требуется доступ к серверу приложений
внутренней сети.
Прокси-сервер
192.168.1.3
(внешний) 192.168.1.1
(внутренний) 10.1.1.3
\10.1
\
\
\
\
t
.1.0
-С
Сервер приложений
10.1.1.5
Сервер электронной
почты
10.1.1.100
Рис. JO. 7. Настройка канала для соединений, входящих во внутреннюю сеть извне
Задача доступа к серверу приложений решается с помощью команд, показанных в
примере 10.19.
_ „Шшшш
Pix(config)# static 192.168.1.11 10.1.1.5
Pix(config)# conduit permit tcp host 192.168.1.11 eq 5190 host 192.168.1.3
Здесь первая команда дает указание брандмауэру PIX Firewall создать статическое ото-
отображение между IP-адресами 192.168.1.11 (внешний интерфейс брандмауэра) и 10.1.1.5
(внутренний сервер приложений). Вторая строка разрешает трафик TCP порта 5190, если
хост источника имеет IP-адрес 192.168.1.3, а хост получателя — адрес 192.168.1.11.
Чтобы увидеть все созданные каналы текущей конфигурации и выяснить, сколько
раз обнаруживалось совпадение и использовались операторы conduit, введите команду
10.19. Команды static и
Глава 10. Настройка доступа через PIX Firewall
367

show conduit. Данная команда обеспечивает информацию, подобную показанной в
примере 10.20.
, Пример 10.20. Использование команды show conduit j
Pixf show conduit
conduit 192.168.1.11 5190 tcp 192.168.1.3
По умолчанию доступ ко всем портам запрещен до тех пор, пока он не будет раз-
разрешен явно. Команда conduit не может применяться при трансляции PAT, поскольку
эти средства приписывают портам "случайные" номера, что делает операторы conduit
некорректными.
Если вы хотите, чтобы внутренние пользователи могли посылать запросы ping
внешним хостам, необходимо создать ICMP-канал для ответов на такие запросы. На-
Например, чтобы разрешить доступ ping всем хостам, используйте команду conduit
permit icmp any any echo-reply.
При использовании команды ping для проверки доступности интерфейса не за-
забудьте указать в командной строке интерфейс, который требуется проверить (как по-
показано в примере 10.21).
| Пример 10.21. Определение интерфейса для проверки 0':}ЩЩ§0^:: щ -ц
Pix# ping outside 192.168.1.3
Использование команды conduit для внешних соединений
с внутренней сетью
Возможно, вам трудно понять, зачем создавать канал, который открывает брешь в
брандмауэре, но при определенных условиях такие действия могут быть оправданы.
Например, на рис. 10.7 прокси-серверу необходима связь с сервером приложений
внутренней сети.
При использовании схемы, показанной на рис. 10.7, компании XYZ необходимо
разрешить прокси-серверу внешней сети ДМЗ A92.168.1.3) доступ к серверу прило-
приложений A0.1.1.5) внутренней сети. Чтобы управлять доступом в таких ситуациях, мож-
можно добавить в конфигурацию соответствующие команды conduit permit и conduit
deny. Такие команды могут выглядеть так, как показано в примере 10.22.
1ример 10.22. Создание канала для трафика TCP порта 80 к внутреннему
т
Pix(config)# conduit permit tcp host 192.168.1.11 eq 80 host 10.1.1.5
Замечание
В брандмауэре Р1Х Firewall версии 5.1.2 для контроля входящего доступа вместо ко-
команд conduit и static можно использовать команды access-list и access-group. При
этом в системе по-прежнему поддерживается использование команд conduit. Для ко-
команд access-list и conduit доступны значения счетчиков, показывающих число на-
наблюдавшихся совпадений с условиями списка доступа или канала.
368 Часть IV. Настройка CiscoSecure PIX Firewall

Настройка PIX Mail Guard
Средства Mail Guard (защита электронной почты) брандмауэра PIX Firewall избав-
избавляют от необходимости использовать внешний почтовый ретранслятор в системе пе-
периметра сети или в ДМЗ. Mail Guard является интегрированным компонентом опера-
операционной системы брандмауэра PIX. Главная задача Mail Guard — разрешить исполь-
использование только семи общих команд SMTP (HELO, MAIL, RCPT, DATA, RSET, NOOP и QUIT) на
сервере SMTP, защищенном брандмауэром PIX Firewall. Команды, поддерживаемые
системой Mail Guard, являются минимальным набором команд SMTP, рекомендуе-
рекомендуемым в документе RFC821.
Если возможности Mail Guard в брандмауэре PIX Firewall отключены (а по умол-
умолчанию они включены), то сначала нужно ввести команду fixup protocol (которая бу-
будет описана в следующем разделе).
Команда fixup protocol smtp 25 активизирует средства Mail Guard. Все команды,
кроме семи разрешенных, либо отвергаются, либо интерпретируются как поор ("не
делать ничего"), а в адрес источника запроса отправляется ответ ОК. Любые попытки
использовать неразрешенные команды оказываются для хакера бесполезными. Чтобы
отключить средства Mail Guard, введите соответствующую команду с префиксом по
подобно тому, как это делается в обычном маршрутизаторе Cisco.
Если при использовании Mail Guard применяется команда static, необходимо
применить и команду conduit. Команда static создает статическое отображение, а
команда conduit дает пользователям возможность доступа к этому отображению.
В примере 10.23 представлены команды, разрешающие доступ к внутреннему сер-
серверу, в котором используется система Mail Guard (рис. 10.7).
wryr
Pix(config)# static (inside, outside) 192.168.1.14 10.1.1.100
netmask 255.255.255.0
Pix(config)! conduit permit tcp host 192.168.1.14 eq smtp any
Pix(config)! fixup protocol smtp 25
В этом примере команда static использует глобальный адрес 192.168.1.14, чтобы раз-
разрешить внешним хостам доступ к серверу электронной почты 10.1.1.100 на интерфейсе
(inside). Команда conduit позволяет любому внешнему пользователю (ключевое слово
any) получить доступ к глобальному адресу 192.168.1.14 через порт SMTP с номером 25.
В дополнение к командам conduit и static при доступе к почтовому серверу
SMTP можно использовать команду mailhost брандмауэра PIX, если ваш брандмауэр
имеет более раннюю версию, чем 4.2. Команда fixup protocol, появившаяся в бранд-
брандмауэре PIX Firewall с версии 4.2, сделала команду mailhost ненужной.
После ввода всех команд, необходимых для активизации Mail Guard, нужно заре-
зарегистрировать внешний глобальный адрес в центре InterNIC (создать почтовую за-
запись — MX Record), чтобы ваш почтовый домен указывал на этот адрес.
Как показывает рис. 10.8, при использовании системы Mail Guard брандмауэра
PIX сервер ретрансляции электронной почты не выносится за границу брандмауэра.
Это не только обеспечивает сетевому администратору более простую схему размеще-
размещения, но и избавляет его от необходимости управлять дополнительным сервером, кото-
Глава 10. Настройка доступа через PIX Firewall 369

рый может быть потенциальным источником проблем защиты, если окажется недос-
недостаточно защищенным против соответствующих атак.
Классическая схема
почтового ретранслятора (ДМЗ)
Бастионный хост
ретранслятора
Реализация, использующая
средства Mail Guard
Общедоступная
сеть Internet
1
[-ДМЗ 1
jrrgh Брандмауэр
Г1Р PIX Cisco
J
Первый
ярус
Маршрутизатор
Ш периметра
Второй
ярус
Внутренние
серверы
DNS,
почтовые
шлюзы и т.д.
й
Частные
клиенты
Частные
сети
Внутренние
серверы
DNS,
почтовые
шлюзы и т.д.
Частные
клиенты
Рис. 10.8. Настройка средств Mail Guard
Команда f ixup protocol
Команда fixup protocol позволяет проконтролировать, изменить, активизировать
или отключить анализ протокола прикладного уровня в брандмауэре PIX Firewall. Это
очень мощное средство брандмауэра, поскольку оно позволяет брандмауэру изменить
содержимое пакета, чтобы последний удовлетворял требованиям конфигурации. Не-
Некоторые возможности защиты брандмауэра PIX Firewall опираются на средства кон-
контроля и изменения (или "исправления") информации в пакетах, пересылаемых по се-
сети. Различные сетевые протоколы (например, SMTP для передачи электронной поч-
почты) включают в пакеты специальную, зависящую от протокола информацию.
Средства "исправления" протокола для пакетов SMTP предполагают изменение адре-
адресов, включенных в полезный груз пакета, проверку поддерживаемых команд и замену
неподходящих символов.
По умолчанию брандмауэр PIX Firewall настроен на "исправление" протоколов
FTP, SMTP, HTTP, RSH, SQLNET и Н.323.
Синтаксис команды fixup protocol следующий:
fixup protocol протокол [порт[-порт]]
no fixup protocol протокол [порт[-порт]]
show fixup [протокол протокол]
370
Часть IV. Настройка CiscoSecure PIX Firewall

Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
протокол Задает протокол для "исправления": ftp, http, h323, rsh, smtp или sqlnet
порт Определяет номер порта или диапазон портов прикладного протокола. По умолчанию
порт 23 используется для ftp, 80 — для http, 1720 — для h323, 25 -для smtp,
1521 -для sqlnet. Назначение по умолчанию порта 514 для rsh изменить нельзя
Команды fixup protocol всегда присутствуют в конфигурации и активизированы
по умолчанию. Для каждого протокола можно добавить множество дополнительных
команд. Для одного и того же протокола можно указать множество портов. В примере
10.24 указаны порты 1521 и 1523 и протокол SQLNET, что позволяет данному прото-
протоколу работать со средствами NAT для этих портов.
1ько портов для одного протокола
Pix(config)! fixup protocol sqlnet 1521
Pix(config)! fixup protocol sqlnet 1523
В примере 10.25 глобальный IP-адрес 192.168.1.14 отображается в адрес внутрен-
внутреннего шлюза SMTP 10.1.1.100 с помощью соответствующей команды static.
Pix(config)! fixup protocol smtp 25
Pix(config)! static (inside, outside) 192.168.1.14 10.1.1.100
netmask 255.255.255.255
Pix(config)! conduit permit tcp host 192.168.1.14 eq smtp host 192.168.1.3
Команда xlate
Команды, обсуждаемые в этом разделе, очень важны с точки зрения администри-
администрирования и диагностики.
• Команда clear xlate очищает содержимое сегментов трансляции и возвращает
к использованию для трансляции всего пула глобальных IP-адресов.
• Команда show xlate отображает подробный список параметров трансляции и
соответствующих соединений.
Команду clear xlate следует использовать при удалении, изменении или добавле-
добавлении псевдонимов, операторов conduit, global, nat и route. Сегменты трансляции мо-
могут существовать в течение неопределенного времени, после того как в конфигурацию
были внесены ключевые изменения. Если сегменты трансляции не очищаются с по-
помощью команды clear xlate, следует сохранить конфигурацию и перезапустить
брандмауэр PIX Firewall. He забудьте включить в команду IP-адрес или имя интер-
интерфейса, который необходимо очистить, поскольку выполнение команды без указания
соответствующего имени может привести к нежелательным последствиям, не исклю-
исключая повреждения таблицы соединений.
Глава 10. Настройка доступа через PIX Firewall
371

Синтаксис команды xlate следующий:
show xlate [глобальн_1р [локальн_1р]]
clear xlate [глобальн_1р [локальн_1р]]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
глобальн_1р Зарегистрированный IP-адрес из пула глобальных адресов
локальн_1р Локальный IP-адрес внутренней сети
Вариант команды clear xlate, с помощью которой очищаются параметры трансляции,
связывающие глобальн_1р 192.168.1.11 и локальн_1р 10.1.1.101, показан в примере 10.26.
Пример 10.26. Очистка объекта xlate ¦ -У:"*" 'Ш: ¦'¦j1--J-: Ш^^Ш^Ш^^ЩЖ:
Pix(config)* clear xlate 192.168.1.11 10.1.1.101
В примере 10.27 показан вариант применения команды show xlate.
Pix> show xlate
Global 192.168.1.11 Local 10.1.1.101 static nconns 0 econns 0 flags s
PAT Global 192.168.1.11B065) Local 10.1.1.101 out 192.168.1.3:80
in 10.1.1.5:1883 idle 0:00:08 Bytes 0 flags 0x0
Разрешение доступа ping
Ввиду того, что брандмауэр PIX Firewall по умолчанию запрещает весь трафик, вы
не сможете использовать команду ping для проверки связи с защищенной сетью из-
извне. Однако можно воспользоваться командой conduit, чтобы открыть проход или ка-
канал, по которому ответы ICMP смогут вернуться назад через брандмауэр.
Как мы уже выяснили в разделе "Настройка исходящего доступа", при возможно-
возможности направлять входящие запросы ping к внутренним хостам можно обеспечить более
высокий уровень контроля, разрешив трафик echo-reply порта, но при этом возника-
возникает риск нарушения защиты.
Замечание
Команда condnit, обсуждаемая в этом разделе, должна использоваться только в це-
целях отладки. Ее необходимо удалить сразу же по завершении проверки системы. Дан-
Данная команда открывает брешь в брандмауэре, наличием которой могут воспользо-
воспользоваться хакеры.
Если проанализировать команду, показанную в примере 10.28, то создаваемая этой
командой брешь в системе защиты становится совершенно очевидной.
Ключевое слово conduit заставляет брандмауэр PIX Firewall подготовить коммуни-
коммуникационный конвейер, используя параметры, следующие за этим ключевым словом.
Ключевое слово permit говорит брандмауэру о том, что трафику, описанному сле-
372 Часть IV. Настройка CiscoSecure PIX Firewall

дующим ключевым словом, следует разрешить любое движение через статику. Ключе-
Ключевое слово icmp информирует брандмауэр о том, что протоколу ICMP (сообщениям
ping) со всех глобальных IP-адресов будет открыт свободный проход. Ключевое слово
any указывает, что через трафик ICMP извне могут быть доступны все глобальные IP-
адреса. Ключевое слово any echo-reply сообщает брандмауэру о том, что все внешние
IP-адреса, к которым направляются запросы ping, должны иметь возможность отпра-
отправить свои ответы echo-reply ICMP назад через брандмауэр.
разрешения трафика
Pix (config)# conduit permit icmp any any echo-reply
Открытие двунаправленного порта доступа в брандмауэре может повлечь нежелатель-
нежелательные последствия, особенно если соответствующий канал не предполагает дополнительного
контроля, как при разрешении движения трафика ICMP через периметр защиты.
Внимание!
В последних отчетах консультативных советов по защите содержатся подробные опи-
описания попыток хакеров использовать средства автоматизации случайных запросов
ping для сбора информации о частных сетях в ходе "атак ping".
Система DNS Guard и защита от атак
блокирования сервиса
Система DNS Guard (защита DNS) распознает исходящие запросы DNS и позво-
позволяет принять только один ответ на каждый такой запрос. Любой хост может обратить-
обратиться с запросами к нескольким серверам (если первый сервер задержится с ответом), но
принять разрешается только первый ответ на запрос. Все остальные ответы от других
серверов будут проигнорированы (рис. 10.9).
Чтобы выяснить, как работает система DNS Guard, рассмотрим две ее составляю-
составляющие — запрос DNS и ответ DNS.
Запрос DNS (пример 1 на рис. 10.9) выполняется по следующему сценарию.
1. Клиент отправляет запросы DNS известным ему серверам DNS.
2. Брандмауэр PIX Firewall записывает информацию о запросах и готовится принять
только один ответ от серверов DNS.
3. Нарушитель наблюдает трафик порта 53 (DNS) и начинает атаку блокирования
сервиса, обнаружив движение данных.
Ответ на запрос DNS (пример 2 на рис. 10.9) происходит по следующему сценарию.
1. Нарушитель захватывает сеанс ответа на запрос DNS от узла DNS2 и "забрасывает"
внешний интерфейс лавиной ответов.
2. Брандмауэр PIX Firewall обнаруживает ответ от узла DNS 1 и разрешает этому от-
ответу пройти к компьютеру-клиенту. Брандмауэр PIX проверяет информацию о
состоянии сеанса для фальшивых сообщений DNS и отвергает их.
Глава 10. Настройка доступа через PIX Firewall 373

Пример 1. DNS-запросы
DNSiBflM3
Компьютер-клиент
DNS2 на внешнем
интерфейсе
Пример 2. DNS-ответы
DNSiBflM3
Компьютер-клиент
DNS2 на внешнем
интерфейсе
Рис. 10.9. DNS Guard в действии
Алгоритм ASA брандмауэра PIX Firewall совместно со средствами DNS Guard осущест-
осуществляет контроль на основе полной информации о соединениях, тем самым предотвращая
захват сеансов и разрешая поддержку только одного сеанса. Кроме того, предотвращаются
атаки блокирования сервиса, направленные против брандмауэра PIX Firewall и через него,
включая мультимедиа-сеансы UDP, сервисы DNS и электронной почты.
Брандмауэр PIX Firewall открывает динамический канал, чтобы разрешить движение
пакетов UDP от запрашивающего клиента. После выполнения запроса брандмауэр фикси-
фиксирует отправку последнего пакета с ответом на запрос и закрывает динамический канал,
даже если таймер UDP, предназначенный для защиты от атак захвата UDP-сеансов, еще
не исчерпал свое время. Захват сеанса UDP-порта является одним из наиболее популяр-
популярных методов блокирования сервиса. Программное обеспечение, используемое для пред-
представления мультимедийных потоков, обычно является не слишком сложным, и простота
соответствующего протокола оказывается привлекательной для изобретательных хакеров.
Хотя некоторые из наиболее новых мультимедиа-приложений, таких как RealAudio/
RealVideo и Windows Media Player, и предлагают опытным пользователям некоторую
гибкость настроек, их целью обычно является правильность передачи потоков, а не
защита сетевого клиента. Именно поэтому средства DNS Guard исключительно важны
в системе сетевой защиты.
374
Часть IV. Настройка CiscoSecure PIX Firewall

Защита от атак блокирования сервиса: атаки SYN
Лавина SYN (лавина синхронизирующих символов) — это один из видов атак бло-
блокирования сервиса; ее целью является блокирование порта TCP с тем, чтобы не дать
ему возможности принимать поток данных. Хакер посылает "фальшивые" неполные
пакеты открытия соединений (содержащие фальсифицированный адрес источника) в
адрес соответствующих портов, заставляя порты ждать завершения этих соединений,
т.е. так называемого пакета АСК (подтверждение соединения). "Фальшивые" пакеты
вызывают переполнение "буфера очереди" стека TCP/IP в ожидании завершения по-
попыток соединения. В условиях переполнения очереди операционная система напрас-
напрасно тратит ресурсы на управление множеством "поддельных" пакетов, пока не будет
исчерпано время ожидания соединения.
На рис. 10.10 показана схема нормального течения процесса установки соединения
хоста с сервером, в ходе которого происходят следующие действия.
1. Хост А отправляет пакет SYN серверу В, чтобы информировать сервер о запросе
соединения.
2. Сервер В получает запрос (пакет SYN) и подтверждает его получение, отправляя
пакет SYN АСК. Сервер знает, как достичь отправителя запроса, поскольку пакет
SYN содержит адрес источника.
3. Хост А отправляет пакет АСК, чтобы завершить процесс установки соединения.
Пакет SYN
Хост А СерверВ
Пакет SYN АСК
а
Хост А СерверВ
Пакет АСК
а
Хост А СерверВ
Рис. 10.10. Нормальный процесс создания соединения
На рис. 10.11 показана схема лавинной атаки SYN, которая выполняется по сле-
следующему сценарию.
1. Хост А хакера отправляет в адрес сервера В множество пакетов SYN с фальсифи-
фальсифицированными адресами источника.
2. Сервер В пытается реагировать на запросы хоста А, отправляя пакеты SYN АСК.
Проблема заключается в том, что адресов, по которым направляются пакеты SYN
АСК, не существует. Сервер В продолжает посылать пакеты SYN АСК, пока не
будет исчерпан соответствующий предел времени для запроса соединения.
3. Хост А хакера продолжает посылать серверу В многочисленные пакеты SYN с
фальсифицированными адресами источника. Сервер В ставит запросы в очередь
и пытается реагировать на каждый из них.
Глава 10. Настройка доступа через PIX Firewall 375

Пакет SYN
а
Хост А
а
Статистические данные сервера В:
Использование процессора — 15%
Использование памяти — 10%
Очередь соединений — 50%
Пакет SYN
а
Хост А
Пакет SYNACK
В
Сервер В
Статистические данные сервера В:
Использование процессора — 55%
Использование памяти — 80%
Очередь соединений — 75%
9
а
Хост А
Пакет SYN
Пакет SYN
а
Сервер В
Статистические данные сервера В:
Использование процессора — 100%
Использование памяти — 100%
Очередь соединений — 100%
Рис. 10.11. Схема проведения атаки SYN
На рис. 10.11 напрасные попытки сервера ответить на "фальшивые" пакеты SYN
приводят к блокированию сервиса. Подвергшийся атаке сервер продолжает отправ-
отправлять пакеты SYN ACK до тех пор, пока не будет превышен соответствующий предел
времени. Сервер заключает, что попытка соединения окончилась неудачей, и продол-
продолжает обработку следующих элементов очереди, получая при этом тот же результат.
Это похоже на постоянные телефонные звонки, когда вы берете трубку и говорите:
"Алло?", но вам никто не отвечает. Вы потратите некоторое время на ожидание отве-
ответа, прежде чем положите трубку, а пока трубка поднята, никто другой дозвониться к
вам не сможет, поскольку линия занята.
Брандмауэр PIX Firewall использует параметр em_limit в командах static и nat (и
некоторых других командах), чтобы защититься от атак SYN. Установка соответст-
соответствующего значения заставляет брандмауэр PIX Firewall следить за числом незавершен-
незавершенных попыток создания соединений и отвергать их, если достигнута пороговая величи-
величина. Это не дает "буферу очереди" заполниться до уровня блокирования сервиса.
В примере 10.29 показан вариант использования параметра em_limit в команде
static для зашиты почтового сервера.
1 Пример 10.29. Использование параметра em_limit в команде static
! с целью защиты постового сервера
Pix(config)! static (inside, outside) 192.168.1.14 10.1.1.100
netmask 255.255.255.255 10 40
Эта команда заставляет брандмауэр разрешить связь внешнего хоста (IP-адрес
192.168.1.14) с внутренним хостом электронной почты (IP-адрес 10.1.1.100). Общее число
разрешенных соединений (max_conns) устанавливается равным 10, а предел числа незавер-
незавершенных попыток соединения (em_limit) равен 40. Для выбора правильных значений этих
параметров придется немного поэкспериментировать, чтобы в результате обеспечивалась
защита соединений без создания неудобств легальным пользователям.
376
Часть IV. Настройка CiscoSecure PIX Firewall

Ввиду того, что атаки блокирования сервиса обычно нацелены на поставщиков се-
сетевых услуг (почтовые службы и Web-сервис), особое внимание следует уделить защи-
защите именно этих серверов.
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Брандмауэр PIX Firewall с его операционной системой был разработан для того,
чтобы предоставить предприятию возможность иметь только один сетевой объ-
объект, обеспечивающий защиту сети.
• Возможности защиты брандмауэра PIX не влияют на работу сетевых сервисов
TCP/IP (Web-броузеров, почтовых серверов, FTP, Telnet и т.д.), если соответст-
соответствующие ограничения не предусмотрены корпоративной политикой защиты.
• Брандмауэр PIX Firewall поддерживает мультимедиа-приложения (RealAudio,
VDO Live, Stream Works, CuSeeMe и многие другие).
• Обновления операционной системы брандмауэра PIX Firewall осуществляются
программно (через флэш-память), что дает возможность приобретать обновления
и загружать их через Internet (для предлагаемых новыми версиями расширенных
возможностей может потребоваться дополнительная оперативная память).
• Брандмауэр PIX Firewall предлагает защищенную встроенную операционную сис-
систему, которая работает в реальном масштабе времени, выполняется из флэш-
памяти и была разработана с учетом требований максимальной стабильности.
• С помощью средств NAT брандмауэр PIX Firewall может обеспечить доступ к
Internet независимо от того, какой класс IP-адресов вы используете.
• Брандмауэр PIX Firewall не влияет на текущее состояние локальной сети и заре-
зарегистрированных в ней пользователей, являясь для них полностью прозрачным.
• Возможность динамического и статического использования средств NAT и PAT,
равно как и одновременное их применение, гарантирует достаточность брандмау-
брандмауэра PIX Firewall практически в любых ситуациях.
Практическое занятие. Настройка
брандмауэра PIX Firewall для
защищенной двунаправленной связи
Это практическое занятие иллюстрирует возможности настройки брандмауэра PIX
Firewall в сети гипотетической компании XYZ. Прочитайте план практического заня-
занятия, рассмотрите схему топологии сети, ознакомьтесь с политикой защиты, а затем
проанализируйте предлагаемые примеры конфигурации, чтобы увидеть, как требова-
требования политики защиты реализуются с помощью команд брандмауэра.
План практического занятия
Компания XYZ приобрела брандмауэр PIX Firewall фирмы Cisco для работы с уже
имеющимися в наличии маршрутизатором периметра и бастионными хостами в целях
Глава 10. Настройка доступа через PIX Firewall 377

защиты внутренней сети от нарушителей. Необходимо так настроить брандмауэр, что-
чтобы ограничить нежелательный доступ и в то же время оставить возможность для со-
сотрудников аналитического отдела выполнять свою работу.
Топология
На рис. 10.12 показана часть сети компании XYZ, которая будет настраиваться в
ходе данного практического занятия. В фокусе внимания здесь оказывается создание
системы защиты внутренних сетевых ресурсов, предполагающей минимум ограниче-
ограничений доступа для служащих при выполнении ими производственных функций. Эта на
первый взгляд невозможная задача будет решена с помощью аккуратной реализации
следующей политики защиты.
Маршрутизатор
периметра
Internet
J
192.168.1.2
(внешний) 192.168.1.1
Брандмауэр PIX
C интерфейса)
(внутренний) 10.1.1.3
Сервер DNS
192.168.11.4/24
10.1.1.4/24 10.1.1.5/24 10.1.1.100/24
Рис. 10.12. Контроль доступа к Internet в компании XYZ
Политика сетевой защиты
Политика сетевой защиты, которую намерена реализовать компания XYZ, предпо-
предполагает следующее.
• Использование брандмауэра PIX Firewall для выполнения задач NAT в сети
компании.
• Настройка статик для исходящего трафика с хоста DNS.
• Настройка статик и каналов для входящего трафика.
• Настройка брандмауэра для доступа telnet.
• Настройка брандмауэра для доступа ping.
378
Часть IV. Настройка CiscoSecure PIX Firewall

Пример конфигурации брандмауэра PIX Firewall
Конфигурация из примера 10.30 предлагает набор команд, позволяющий настроить
брандмауэр PIX Firewall так, чтобы были выполнены задачи данного практического заня-
занятия. После проверки конфигурации не забудьте удалить команду conduit permit icmp any
any echo-reply путем ввода команды no conduit permit icmp any any echo-reply.
I Пример 10.30. Вариант kc
nameif ethernetO outside securityO
nameif ethernetl inside securitylOO
nameif ethernet2 DMZ security50
enable password 6RD5.96v/eXN3kta encrypted
passwd 2KFQnbNIdI.2KY0U encrypted
hostname PIX1
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
fixup protocol telnet 11
names
pager lines 24
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernetO auto
interface ethernetl auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu DMZ 1500
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address DMZ 192.168 11.1 255.255.255.0
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address DMZ 0.0.0.0
arp timeout 14400
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
nat (inside) 1 10.1.0.0 255.255.0.0 0 0
static (inside,outside) 192.168.1.11 10.1.1.4 netmask 255.255.255.255 0 0
Глава 10. Настройка доступа через PIX Firewall 379

static (inside,outside) 192.168.1.12 10.1.1.5 netmask 255.255.255.255 0 0
static (inside,outside) 192.168.1.13 192.168.11.4 netmask 255.255.255.255 0 0
static (inside,outside) 192.168.1.14 10.1.1.100 netmask 255.255.255.255 0 0
conduit permit icmp any any echo-reply
conduit permit tcp host 192.168.1.12 eq telnet host 192.168.1.2
conduit permit tcp host 192.168.1.11 eq www any
conduit permit udp host 192.168.1.11 eq syslog host 192.168.1.2
conduit permit tcp host 192.168.1.14 eq smtp any
no rip outside passive
no rip outside default
rip inside passive
rip inside default
no rip DMZ passive
no rip DMZ default
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet timeout 5
terminal width 80
Cryptochecksum:377f6e0f8d9ac2f00141ef827bb4f9e6
: end
[OK]
Контрольные вопросы
Ответьте на следующие вопросы, которые касаются некоторых ключевых фактов и
понятий, связанных с настройкой доступа через брандмауэр PIX Firewall и рассмот-
рассмотренных в этой главе.
1. С какой целью используются средства NAT брандмауэра PIX Firewall при доступе
к Internet?
• Чтобы не зависеть от ограничений, накладываемых на номера Internet-портов.
• Чтобы не зависеть от ограничений, накладываемых на Internet-адреса.
• Чтобы обеспечить независимость сети.
• Чтобы обеспечить полную тайну и защиту.
2. Какая из следующих команд обеспечивает трансляцию всех внутренних адресов
сети 10.1.0.0 в глобальные адреса?
• global (outside) I 192.168.1.128-192.168.1.254 netmask 255.255.255.0
nat (inside) 1 10.1.0.0 255.255.0.0
• global (inside) 1 192.168.1.128-192.168.1.254
nat (outside) 1 10.1.0.0 255.255.0.0
380 Часть IV. Настройка CiscoSecure PIX Firewall

• inside 1 192.168.1.128-192.168.1.254
nat 1 10.1.0.0 255.255.0.0
• outside 1 192.168.1.128-192.168.1.254
inside 1 10.1.0.0 255.255.0.0
3. Что позволяет выполнить команда nat 0?
4. Следует ли использовать средства PAT при доступе к мультимедиа-приложениям
через брандмауэр PIX Firewall?
5. Чем отличается трансляция NetBIOS от трансляции адресов TCP/IP?
6. Что делает команда established?
7. Что делает команда static?
8. Какая команда ограничивает число частично открытых соединений?
9. Что делает команда conduit?
10. В каком порядке обрабатываются команды conduit permit и deny?
• В порядке их появления в списке конфигурации PIX Firewall.
• В порядке, основанном на значениях IP-адресов.
• В порядке, основанном на значениях адресов портов.
• Ни в одном из упомянутых выше.
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Настройка команд conduit
Обратитесь к файлам комментариев, сопровождающим программное обеспечение
брандмауэра PIX Firewall, чтобы ознакомиться с последними изменениями синтаксиса
команд и с информацией о соответствующих проблемах конфигурации. Не помешает
также ознакомиться с руководствами Configuration Guide и Command Reference nw
брандмауэра PIX Firewall, размещенными на Web-узле Cisco.
Атаки блокирования сервиса
Посвященный инцидентам защиты узел правительства США (U.S. Government
Computer Incident Advisory Capability) размещен по адресу: ciac.llnl.gov.
Узел координационного центра CERT размещен по адресу: www.cert.org.
Узел группы CERT Министерства обороны США находится по адресу: www.assist.mil.
Узел SANS Institute Online размещен по адресу: www.sans.org/newlook/home.htm.
Объекты xlate и структура команд
Описания полей xlate и conn, отображаемых командой show xlate, можно найти в
руководстве Configuration Guide брандмауэра PIX Firewall, Release 4.2.
Глава 10. Настройка доступа через PIX Firewall 381

Изучив материал даннойхйайй,
• Настроить .-¦•~*^~*
ВЫ;'
~ВЫГ
йй
.С
ауэра
а1Г
• Защитить бастионный хосгк основываясь^Га примере практического занятия.
• Настроить1<федатва ААА.§>андмауэра PRttFirewall для работы с сервером управле-
управления доступом ^CiscoSecunfe^CS, основываясь на гадамерейр^ктческого занятия.
¦¦¦* &"Л щ ШшфШе*'**' V*"
• Пррверить'правильность функционирСрЩия брандмауэра PIX Firewall.

Глава
11
Настройка интерфейсов
средств ААА PIX Firewall
В этой главе объясняется, как настроить брандмауэр PIX Firewall для работы с множе-
множеством интерфейсов и как обеспечить контроль доступа к сервисам через PIX Firewall.
Вы узнаете, как с помощью расширенных версий команд, уже упоминавшихся в
предыдущих главах, заставить брандмауэр PIX Firewall работать в сетях с более слож-
сложной топологией. В главе обсуждается идея создания ДМЗ, являющейся подсетью бас-
бастионных узлов, а реализация этой идеи представлена в описании соответствующего
практического занятия.
Многие компании, соединенные с Internet, не утруждают себя проблемами создания и
последовательной реализации соответствующей политики защиты. Политика сетевой за-
защиты представляет собой набор руководящих принципов, которые должны быть логиче-
логически завершёнными и письменно оформленными, чтобы их можно было придерживаться в
..течение достаточно долгого времени. Одной из главных составляющих политики защиты
^является разделение важных систем — физическое или логическое.
^В этой главе обсуждается логическое разделение систем, осуществляемое по необ-
необходимости или по проейу. Если при проектировании сети рассматривать одни систе-
системы и сервисы отдельно|от других, создание и реализация более совершенной полити-
политики защиты оказывается более простым делом.
Настройка доступа к множеству
интерфейсов
Кэтому моменту мй' с вами выяснили, как решаются основные задачи конфигура-
конфигурации брандмауэра PIX Firewall. Теперь попробуем применить полученные знания к не-
некоторым реальным сценариям.
Первый сценарий предполагает использование в брандмауэре PIX Firewall множества
^интерфейсов. "Множество" в данном случае означает число, превышающее уже обсуж-
|§^*давшийся стандартами набор, состоящий из внутреннего и внешнего интерфейсов. Одним
из^наиболее распространенных вариантов применения дополнительного интерфейса в
брандмауэре является создание ДМЗ ("демилитаризованной" зоны) для общедоступных
серверов и сервисов, в то время как "частная" внутренняя сеть защищается более надежно.
Соответствующая схема показана на рис. 11.1. Еще одним преимуществом наличия в
..^брандмауэре PIX Firewall множества интерфейсов является то, что появляется возможность
§ifc|¦'использовать брандмауэр в качестве инструмента реализации политики контроля доступа к
|* сетям и хостам, связанным с дополнительными интерфейсами.

Маршрутизатор
периметра
ЕО
Брандмауэр PIX
Е2
Е1
Защищенная ДМЗ
Сервер Web
192.168.11.3
Сервер электронной
почты
192.168.11.4
Внутренний
маршрутизатор
Рис. П. 1. Пример сети с ДМЗ, или подсетью бастионного хоста
В примерах практических занятий, рассмотренных в главах 9 и 10, были представ-
представлены варианты настройки внутреннего и внешнего интерфейсов Ethernet, поэтому
некоторая часть материала этой главы покажется вам достаточно знакомой.
Настройка средств поддержки множества
интерфейсов
В примерах этой главы будут рассматриваться три интерфейса брандмауэра PIX
Firewall. Различные модели брандмауэра поддерживают многоинтерфейсные сетевые
карты. В настоящее время некоторые сетевые карты имеют по четыре интерфейса, так
что отдельные конфигурации PIX Firewall могут поддерживать достаточно большое
число интерфейсов. Современные модели также поддерживают множество типов ин-
интерфейсов, включая Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring и FDDI.
Как и в других главах данной книги, здесь внешний интерфейс имеет имя ether-
netO, а внутренний — ethernetl.
Замечание
Любому интерфейсу можно назначить произвольное имя и произвольный уровень за-
защиты. Поэтому, настраивая брандмауэр PIX Firewall, вы не обязаны ограничивать се-
себя использованием имен, предлагаемых в данной книге.
384
Часть IV. Настройка CiscoSecure PIX Firewall

Двумя исключениями этой открытой схемы выбора имен являются внутренний
(уровень защиты 100) и внешний (уровень защиты 0) интерфейсы. Все, что находится
между этими интерфейсами, оставлено на усмотрение администратора.
Обратите внимание на то, что на рис. 11.1 область ДМЗ использует схему сетевой
нумерации, отличную от схемы нумерации внутренней сети. В примерах данной
книги все используемые адреса соответствуют пространству частных адресов, описан-
описанному в документе RFC 1918, но в реальности "внешний мир" состоит из Internet-
адресов, а ДМЗ — из открытых IP-адресов. В книге используются частные адреса,
чтобы случайно не нанести вред реальным пользователям.
Давайте сначала вспомним синтаксис команд nameif, interface и ip address, которые
уже обсуждались в главе 9, а затем обсудим варианты настройки трех интерфейсов.
Чтобы назначить интерфейсу имя, используется команда nameif, имеющая сле-
следующий синтаксис,
nameif интерфейс имя уровень-защиты
Параметры команды описаны в следующей таблице.
Параметр команды Описание
интерфейс Указывает имя интерфейса, например eterneto
имя Указывает имя внутреннего или внешнего сетевого интерфейса Может содержать
до 48 символов. Характеризует использование порта, например, inside, out-
outside, serverfarm
уровень_защиты Указывает уровень защиты интерфейса. Значение должно выбираться из диапазона
0-100 и отличаться от соответствующих значений для других интерфейсов
После определения имени интерфейса необходимо задать некоторые технические
параметры. В частности, брандмауэру PIX Firewall необходимо сообщить такую свя-
связанную с интерфейсом информацию, как скорость передачи и дуплекс (для Ethernet)
или кольцевая скорость (для Token Ring).
Команда interface, с помощью которой задается скорость порта, имеет очень про-
простой синтаксис,
interface id_nnaTii [скорость_платы] [shutdown]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
id_imaTn Указывает тип интерфейса, например etherneto
скорость_платы Указывает скорость передачи данных и дуплекс, например lObaset, lOOfull и
т.д. Допустимым значением является также auto, что означает автоматическое
тестирование интерфейса брандмауэром при включении
shutdown Отключает интерфейс
Если обратиться к консоли брандмауэра PIX Firewall, имеющего множество ин-
интерфейсов, вы увидите на экране нечто подобное тому, что показано в примере 11.1.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 385

\ Пример 11.1. Вывод консоли брандмауэра PIX Firewall с множеством
; интерфейсов >
Pixfirewall(config)tnameif ethernetO outside security!)
Pixfirewall(config)tnameif ethernetl inside securitylOO
Pixfirewall(config)tnanieif ethernet2 dmz security 50
Pixfirewall(config)I interface ethernetO lObaset
Pixfirewall(config)tinterface ethernetl lOOfull
Pixfirewall(config)tinterface ethernet2 lObaset
Замечание
He забывайте о том, что два интерфейса, имеющие один и тот же уровень защиты, не
могут связываться друг с другом.
Когда приходится иметь дело с множеством интерфейсов, нужно предусмотреть воз-
возможность огран именного доступа Telnet непосредственно к брандмауэру PIX Firewall.
По умолчанию брандмауэр PIX Firewall не позволяет непосредственный доступ Telnet
ни с одного из интерфейсов. Это является прекрасной практикой защиты, но при этом
возникают трудности в сопровождении системы (особенно с удаленных позиций).
Команда, разрешающая прямой доступ Telnet к брандмауэру PIX Firewall, имеет
следующий синтаксис.
telnet 1р_адрес [маска] [ямя_иитерфейса]
Команда telnet 1р_адрес разрешает доступ Telnet одному хосту, а команда telnet
ip адрес маска — диапазону адресов хостов. Можно также указать направление, с ко-
которого разрешаются сеансы Telnet, задав имя интерфейса. Рекомендуется разрешать
доступ Telnet со статической станции управления внутренней сети или с иного из-
известного и надежного IP-адреса. Параметры команды описаны в следующей таблице.
Параметр команды Описание
1р_адрес Определяет либо IP-адрес (отдельного) хоста, либо сетевой IP-адрес
маска Задает сетевую маску, связываемую с сетевым IP-адресом
имя_интерфейса Определяет открытое имя интерфейса, если используется IPSec. Обычно это
внешний интерфейс
Не следует разрешать прямой доступ Telnet внешнему маршрутизатору и точно так
же не следует разрешать прямой доступ Telnet с диапазона IP-адресов пула удаленного
доступа поставщика сетевых услуг. Если же модемный пул поставщика услуг является
единственным вариантом доступа к брандмауэру, следует задуматься о других вариан-
вариантах доступа, просто с точки зрения защиты (например, использовать модем, подсое-
подсоединенный к порту AUX внутреннего маршрутизатора).
Теперь, когда интерфейсы определены, на них можно ссылаться по именам. Соот-
Соответствующими именами в данной главе являются inside (внутренний), outside
(внешний) и DMZ (ДМЗ).
• Inside. Это частная сеть, состоящая из рабочих станций пользователей, которым
может понадобиться доступ к Internet. Доступ из Internet к этим станциям не-
386 Часть IV. Настройка CiscoSecure PIX Firewall

посредственно не требуется и вообще нежелателен. Вам хотелось бы, чтобы ча-
частная сеть оставалась на самом деле частной.
• DMZ. Это сеть, предлагающая общедоступные сервисы, которые могут понадо-
понадобиться и внутренним пользователям сети. Примерами могут быть серверы DNS,
с помощью которых внутренние клиенты могут выполнять поиск имен, а
внешние — получать необходимую информацию о компании, а также серверы
WWW и SMTP (электронной почты), к которым должны иметь доступ как
внутренние, так и внешние пользователи. Эта зона предназначена для любых
сервисов, которые должны быть доступны внешним пользователям (Internet),
так что находящиеся в ней объекты могут быть и другими.
• Outside. Это "весь остальной мир". Вы не знаете, кто это, и на самом деле не
доверяете им, но вам необходимо предоставить им доступ к некоторым вашим
сервисам. Для интерфейса, о котором идет речь, используются общедоступные
IP-адреса Internet. Эти IP-адреса выдаются организацией IANA (Internet
Assigned Numbers Authority — Центр зарегистрированных адресов Internet),
имеющей адрес: www.iana.org, или поставщиком услуг Internet (ISP).
На рис. 11.2 показана схема использования брандмауэра PIX Firewall с соответст-
соответствующими интерфейсами. При анализе этой схемы помните о назначении и конфигу-
конфигурации этих интерфейсов.
Маршрутизатор
периметра
Внутренняя сеть
Внутренний
маршрутизатор
Рис. 11.2. Брандмауэр PIX Firewall с множеством интерфейсов: базовая схема
Настройка внутреннего интерфейса для внешнего
мира: команды global и nat
Теперь пришло время обсудить некоторые вопросы сетевого проектирования и вы-
выяснить, как именно следует определять различные интерфейсы брандмауэра PIX
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall
387

Firewall. Здесь не помешает снова обратиться к главе 10, чтобы вспомнить принципы
использования команд nat и global. Как упоминалось в главе 10, присваивание адре-
адресов хостам выполняется с помощью средства NAT (Network Address Translation —
трансляция сетевых адресов).
Имея основу для понимания процесса, можно приступить к обсуждению более
"тонких" вопросов настройки брандмауэра.
Замечание
В данной главе сеть 10.0.0.0/8 представляет пространство частных адресов для внут-
внутренней сети, а 172.16.0.0/12— пространство общедоступных адресов Internet. В ре-
реальной ситуации 172.16.0.0/12 тоже является пространством частных адресов (в со-
соответствии с документом RFC 1918), которые не должны использоваться публично.
Прежде всего следует решить, какие рабочие станции должны иметь доступ через
брандмауэр и какой пул "реальных" открытых IP-адресов будет связан с этой группой
рабочих станций.
Соответствующие команды в своей основе просты, но мы рассмотрим некоторые
достаточно "хитроумные" варианты их применения. Чтобы назначить адреса, кото-
которым будет разрешен доступ через брандмауэр, используется следующая команда.
nat [(имя_иитерфейса)] nat_id локальи_1р [маска [max_conns [em_limit]]] [norandomseq]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_янтерфенса Указывает имя внутреннего сетевого интерфейса (определяемое командой nameif)
nat_id Связывает команды nat с глобальным пулом, определенным командой global
локалья_1р Задает IP-адрес внутренней сети для трансляции. Можно использовать 0.0.0.0 или
О, чтобы позволить устанавливать исходящие соединения всем хостам
маска Указывает сетевую маску для локальн ip
max_conns Определяет максимальное число TCP-соединений с интерфейса, заданного парамет-
параметром имя интерфейса данной команды
em_limit Определяет предельное число возникающих соединений. По умолчанию используется
значение 0, что означает отсутствие ограничений. Выбирайте меньшие значения для
медленных систем и большие — для быстрых
norandomseq Запрещает рандомизацию порядковых номеров TCP-пакетов. Используется в тех слу-
случаях, когда рандомизация выполняется другим брандмауэром и в результате комбина-
комбинации соответствующих функций искажаются данные
В примере 11.2 предлагается вариант конфигурации NAT, позволяющий трансли-
транслировать подсеть IP-адресов на внутреннем интерфейсе. Это относится к 62 устройствам
(из диапазона 10.1.2.1—10.1.2.62), и для трансляции используется пул 1.
Pixfirewall(config)lnat (inside) 1 10.1.2.0 255.255.255.192
388
Часть IV. Настройка Cisco-Secure PIX Firewall

После того как командой nat определен пул внутренних адресов, с помощью ко-
команды global определяется пул открытых IP-адресов для трансляции. Синтаксис ко-
команды следующий:
global [(имя_интерфейса}} global_id глобальн_1р[-глобальн_1р] [netmask глобальв_маска]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_интерфейса Указывает имя сетевого интерфейса (определенное командой nameif)
global_id Задает логический пул, соответствующий значению nat_id из команды nat
глобалън_1р- глобалья_1р Указывает диапазон IP-адресов, которые должны войти в пул
netmask глобалья_маска (Не обязательно.) Задает сетевую маску для глобальн_1р при использовании
подсетей
В примере 11.3 предлагается вариант конфигурации NAT, когда глобальный пул
включает диапазон адресов для использования с адресами, описанными командой nat.
Pixfirewall(config)|global (outside) I 172.16.1.3-172.16.1.64
Обратите внимание на то, что номера здесь непосредственно не связаны (т.е.
10.1.2.1 не обязательно отображается в 172.16.1.1, если учитывать предыдущий пример
команды nat), а только указаны 62 подходящих значения для трансляции. В данном
случае для трансляции обеспечивается отношение 1:1, но в реальной ситуации дела не
всегда обстоят так хорошо. Брандмауэр PIX Firewall может также выполнять трансля-
трансляцию адресов портов (PAT), при которой множество внутренних рабочих станций ис-
используют один общий IP-адрес или офаниченное число таких открытых адресов.
Средства PAT позволяют использовать все 65536 TCP/UDP-портов, доступных для
стека протоколов IP, что и обеспечивает разделение адресов. Не забывайте о том, что
в типичной сети все рабочие станции для запросов HTTP используют порт 80. Если
несколько рабочих станций, использующих один IP-адрес, попытаются использовать
порт 80 одновременно, очень быстро ситуация станет для системы очень сложной, по-
поскольку ни брандмауэр, ни рабочие станции не будут иметь возможности выяснить,
чьи ответы передаются по сети. Это подобно доставке писем в большое учреждение,
имеющее один адрес. Если не указать на конверте имя и номер комнаты получателя,
то найти получателя будет непросто. Средства PAT осуществляют трансляцию номе-
номеров портов с целью разумной организации сетевых связей.
При использовании средств PAT брандмауэра необходимо учитывать несколько
моментов. Во-первых, IP-адрес или диапазон IP-адресов, к которым применяются
средства PAT, не должны перекрываться адресами из пула глобальных адресов. Они
также должны отличаться от IP-адреса внешнего интерфейса. Во-вторых, средства
PAT не могут правильно работать с некоторыми приложениями, требующими исполь-
использования конкретных портов. К таким приложениям относятся Н.323, многие мульти-
мультимедиа-приложения и серверы кэширования имен. Но средства PAT совместимы со
многими другими популярными приложениями, в частности с FTP, HTTP, SMTP,
RPC, telnet и traceroute.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 389

Наконец, чтобы заставить PAT работать эффективно, необходимо иметь возмож-
возможность обратного отображения DNS в брандмауэре PIX Firewall. Многие приложения
(в частности, серверы FTP) используют обратный поиск DNS по контрольным запи-
записям запросов. Система часто ошибается, если клиент использует отображение портов,
не являющееся нормальным с точки зрения системы. Без записей обратного отобра-
отображения DNS многие приложения будут выполняться существенно медленнее и будут
наблюдаться разрывы связи. Запросы FTP вообще будут завершаться аварийно.
Замечание
Более подробную информацию о DNS (Domain Name Services — службы имен доме-
доменов), включая поддержку обратного отображения DNS, можно найти в книге DNS and
BIND издательства O'Reilly & Associates.
Для PAT используются те же команды, что и для NAT, но в примере 11.4 специ-
специально предлагается вариант команд, содержащих математическое несоответствие.
1; Пример Ч .4. Конфигурация NAT для PAT
Pixfirewall(config)tnat (inside) 2 10.1.2.64 255.255.255.192
Pixfirewall(config)tglobal (outside) 2 172.16.1.65
Здесь брандмауэру сообщается, что 62 устройства сети 10.1.6.64 должны совместно
использовать один IP-адрес A72.16.1.65) при доступе к Internet.
Адреса хостов транслируются по принципу первенства запросов. Таким образом,
если пул глобальных адресов связан с группой внутренних рабочих станций, то по-
последние не обязательно транслируются в порядке их номеров. Более того, поскольку
имеется возможность связать большую группу частных рабочих станций с меньшим
пулом глобальных адресов, могут возникать ошибки трансляции, если очередной гло-
глобальный IP-адрес окажется недоступным. *
Для решения проблемы "истощения" пула адресов предлагается применять предел
времени трансляции, чтобы ограничить время использования трансляции адресами, с
которыми не происходит обмена данными.
Изменить предел времени IP-трансляции можно с помощью следующей команды.
timeout xlate чч:мм:сс
Здесь чч обозначает часы, мм — минуты, а ее — секунды. Предел времени ограничивает
период отсутствия активности хоста, для которого выполняется трансляция. По завер-
завершении этого периода элемент трансляции удаляется, а соответствующий глобальный IP-
адрес становится доступным для использования другой станцией (пример 11.5).
I Пример 11.5 Установка ограничения времени NAT
Pixfirewall(config)tnat (inside) 3 10.1.2.128 255.255.255.128
Pixfirewall(config)tglobal (outside) 3 172.16.1.66-172.16.1.126
Pixfirewall(config)I timeout xlate 1:00:00
В этом примере разрешается транслировать 128 частных IP-адресов в 61 открытый
IP-адрес. Тут же значение предела времени устанавливается равным 1 часу.
По умолчанию соответствующее значение предела времени равно 12 часам. Команда
timeout xlate является глобальной командой брандмауэра PIX Firewall, поэтому с ее по-
390 Часть IV. Настройка CiscoSecure PIX Firewall

мощью не следует устанавливать слишком малые значения, чтобы не создавать лишнюю
работу для брандмауэра, если вашим рабочим станциям требуется дискретный доступ.
Для трансляции можно определить и глобальные группы. Независимо от того, ус-
устанавливаете ли вы пул для адресов всех пользователей вашей организации или толь-
только для адресов вне уже определенного диапазона, для описания всех пользователей
можно использовать значение 0.0.0.0. Как и таблицы маршрутизации, сетевые транс-
трансляции сначала используют более конкретные значения. Поэтому даже если наряду со
значением 0.0.0.0 указаны другие сети, сначала будут использоваться наиболее подхо-
подходящие возможности. В примере 11.6 показан вариант общей конфигурации пула NAT.
Pixfirewall(config)tnat (inside) 4 0.0.0.0 0.0.0.0
Pixfirewall(config)tglobal (outside) 4 172.16.1.127
Здесь каждый IP-адрес внутренней сети, который не удовлетворяет ни одному из
имеющихся в конфигурации условий, разрешается транслировать средствами PAT через
указанный конкретный IP-адрес. Если подобный набор команд не использовать, то при
попытке доступа к Internet с сетевых адресов, не вошедших в диапазоны адресов, представ-
представленные в конфигурации, будет отображаться сообщение о невозможности трансляции.
Теперь давайте рассмотрим все команды и выясним возможности их комбинации
(пример 11.7).
Пример 11.7. Набор из нескольких операторов настройки NAT в конфигу-
ф, ^*\: .¦¦,-'*'.. рации брандмауэра PIX Firewall
Pixfirewall(config)inat (inside) I 10.1.2.0 255.255.255.192
Pixfirewall(config)tglobal (outside) 1 172.16.1.3-172.16.1.64
Pixfirewall(config)tnat (inside) 2 10.1.2.64 255.255.255.192
Pixfirewall(config)Iglobal (outside) 2 172.16.1.65
Pixfirewall(config)tnat (inside) 3 10.1.2.128 255.255.255.128
Pixfirewall(config)tglobal (outside) 3 172.16.1.66-172.16.1.126
Pixfirewall(config)tnat (inside) 4 0.0.0.0 0.0.0.0
Pixfirewall(config)tglobal (outside) 4 172.16.1.127
Здесь выполняется следующее.
• Пул 1. 62 IP-адреса устройств отображаются в пул, содержащий 62 глобальных
адреса (отношение 1:1).
• Пул 2. 62 IP-адреса устройств отображаются в один IP-адрес (с помощью
средств PAT).
• Пул 3. 128 IP-адресов устройств отображаются в пул, содержащий 61 глобальный
адрес (трансляция с перекрытием).
• Пул 4. IP-адреса всех остальных устройств отображаются в один IP-адрес (с
помощью средств PAT).
Когда устройство сети с более высоким уровнем защиты (в данном случае это уст-
устройство внутренней сети) пытается получить доступ к объекту с более низким уров-
уровнем защиты, одной из задач брандмауэра PIX Firewall является проверка записей таб-
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 391

лицы трансляции. Если соответствующей записи нет, брандмауэр PIX Firewall про-
просматривает все определенные пулы (или статики). Пулы исследуются по порядку, так
что в конфигурации, предлагаемой в примере 11.7, значение 0.0.0.0 всегда проверяет-
проверяется последним, поскольку оно обозначает любое устройство.
Замечание
Внутренние и внешние имена в примерах данной главы являются именами, исполь-
используемыми по умолчанию. Эти имена устанавливаются командой nameif, как уже обсуж-
обсуждалось выше. По отношению к оператору имена являются просто глобальным пред-
представлением, указывающим на то, с каким конкретным интерфейсом должен иметь де-
дело брандмауэр PIX Firewall.
Команда show и другие полезные команды
Существует ряд полезных команд, которые можно использовать для настройки
PIX Firewall. Команда show является, пожалуй, самой подходящей для того, чтобы
проверить текущее состояние выполняемых операций. Еще одной весьма полез-
полезной командой является clear. Представленные ниже команды удобно использо-
использовать при работе со средствами NAT. Они перечислены в порядке их применения
от внутренней сети к внешней.
• show nat — отображает информацию о всех определенных в настоящий момент
пулах NAT. Можно указать интерфейс или пул, чтобы получить более конкрет-
конкретную информацию.
• show xlate — отображает информацию о текущем состоянии таблицы адресов,
включая как статические, так и NAT-адреса IP.
• show conn — отображает текущее состояние соединений, проходящих через
брандмауэр PIX Firewall, а также их максимальное число (со времени послед-
последней перезагрузки).
Замечание
Число соединений является важным параметром лицензирования. Для брандмауэра
PIX Firewall подсчитываются только исходящие соединения, так что если в вашей сети
тысячи внутренних пользователей, то неразумно покупать PIX Firewall с разрешением
использовать только 128 одновременно открываемых соединений. Входящие соеди-
соединения счетчиком не учитываются, поэтому если вы являетесь поставщиком услуг In-
Internet (ISP) и не имеете внутренних клиентов вообще, то вам вполне подойдет лицен-
лицензия с наименьшим числом разрешенных соединений.
• clear xlate — очищает таблицу трансляции. Эта команда должна выпол-
выполняться каждый раз после внесения изменений в пулы NAT и сохранения
конфигурации. Множество параметров этой команды может быть использо-
использовано для очистки групп адресов и даже отдельных адресов из локальных
или глобальных пулов IP. Команда, введенная без параметров, очищает всю
таблицу трансляции.
• write memory — сохраняет конфигурацию.
392 Часть IV. Настройка Cisco-Secure PIX Firewall

Настройка внешнего интерфейса для ДМЗ:
команды static и conduit
При настройке внешнего интерфейса для ДМЗ следует учитывать правила адреса-
адресации (трансляция адресов) и разрешения. В брандмауэре PIX Firewall по умолчанию
интерфейсу с высшим уровнем защиты (внутреннему) разрешается посылать данные
интерфейсу с относительно низким уровнем защиты (внешнему).
Кроме того, по умолчанию (как уже обсуждалось ранее в этой главе) трансляция
адресов устанавливается изнутри и обрабатывается в порядке появления соответст-
соответствующих команд. В этом случае пользователь Internet не имеет надежного способа оп-
определить IP-адрес сервера, к которому ему требуется доступ, и точно так же по умол-
умолчанию он не может сделать это.
Чтобы решить проблемы адресации/трансляции, сначала предположим, что имеет-
имеется несколько серверов, к которым вы хотели бы открыть доступ извне (например,
сервер электронной почты и Web-сервер). Затем следует установить статические адре-
адреса (т.е. никогда не изменяющуюся трансляцию), чтобы пользователи знали, как доб-
добраться до этих серверов.
Соответствующая команда имеет следующий синтаксис:
static [(имя_виутр ият, имя виешн иит)] глобапьи ip локальи ip
[netmask маска_сети] [max_conns [em_limit]] [norandomseq]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
Имя внутреннего сетевого интерфейса (определяемое командой nameif). Это должен
быть интерфейс с более высоким уровнем защиты
Имя внешнего сетевого интерфейса (определяемое командой nameif). Это должен
быть интерфейс с более низким уровнем защиты
Глобальный (внешний) IP-адрес для трансляции; является IP-адресом интерфейса с
низким уровнем защиты и не может быть адресом PAT
Локальный (внутренний) IP-адрес для трансляции; является IP-адресом интерфейса с
высшим уровнем защиты
Указывает сетевую маску, имеющую отношение как к rno6anbH_ip, так и к локалъи_1р
Определяет максимальное число TCP-соединений, разрешенных для статики
Задает предел для числа создаваемых соединений. По умолчанию используется зна-
значение 0, означающее отсутствие ограничений. Устанавливайте меньшие значения для
медленных систем и большие - для быстрых
Указание не выбирать случайные значения для порядковых номеров пакетов TCP/IP. Исполь-
Используется тогда, когда случайные порядковые номера генерирует другой брандмауэр на линии
В примере 11.8 предлагается вариант статического отображения адресов.
имя_внутр_инт
имя_виеши_инт
глобальи ip
локальи ip
netmask маска сети
max conns
em_limit
norandomseq
Пример 11.8. Пример создания статического
Pixfirewall(config) if static (dmz,outside) 172.16.1.1 10.1.5.47
Pixfirewall(config) if static (dmz,outBide) 172.16.1.2 10.1.5.172
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall
393

Когда адреса заданы и остальной мир знает, какие IP-адреса соответствуют кон-
конкретным серверам, внешним пользователям необходимо разрешить доступ к этим сер-
серверам. (Помните о том, что по умолчанию внешнему миру не разрешается выступать
инициатором каких бы то ни было контактов.)
Команда conduit, с помощью которой устанавливаются разрешения, имеет сле-
следующий синтаксис:
conduit {permit | deny} протокол глобальи_1р гпобапьи_маска [оператор порт [порт]]
виеши_1р виеши маска [оператор порт [порт]] оператор
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
permit Разрешает доступ при выполнении условий
deny Запрещает доступ при выполнении условий
протокол Указывает транспортный протокол соединения. Возможными буквенными значениями
являются eigrp, gre, icmp, igmp, grp, ip, ipinip, nos, ospf, tcp, udp; допусти-
допустимы также целочисленные значения 0-255, представляющие номер IP-протокола. Ис-
Используйте ip, чтобы указать все транспортные протоколы. Действительные номера
протоколов доступны оперативно по адресу: www.isi.edu/in-notes/iana/
assignments/protocol-numbers
глобальи_1р Указывает глобально доступный (открытый) IP-адрес, заданный командой static. Ес-
Если указывается один конкретный IP-адрес, ему должно предшествовать ключевое сло-
слово host и не должно быть указано сетевой маски
глобалъи_маска Задает сетевую маску для глобальи_1р
оператор Задает оператор сравнения, позволяющий описать порт или диапазон портов. Воз-
Возможными значениями являются eq, It, any, gt, neq и range. Чтобы указать все пор-
порты, используйте оператор по и port
порт Определяет сервис (или сервисы), который разрешается использовать при доступе к
гло6альи_1р. Сервисы определяются связанными с ними портами, например 25 для
SMTP, 80 для HTTP и т.д., а 0 означает любой порт. Значения портов определяются в
документе RFC 1700. Допустимыми буквенными значениями являются dns, esp, ftp,
h323, http, ident, nntp, ntp, pop2, рорЗ, pptp, rpc, smtp, sump, snmptrap,
sqlnet, tcp, telnet, tftp и udp. Подобным образом можно задать и диапазон
портов, например ftp-h323. Можно указывать также номера портов
виеши_1р Определяет внешний IP-адрес (хоста или сети), которому разрешается доступ к гло-
бальи_1р. Можно указать 0.0.0.0 или 0 для любого хоста
виеши_маска Определяет сетевую маску для диапазона виеши_1р
В примере 11.9 показана команда conduit, разрешающая доступ интерфейса с низ-
низким уровнем защиты к интерфейсу с высоким уровнем защиты.
Пример 11 9. Команда conduit, описывающая разрешения SMTP'
Pixfirewall(config)I conduit permit tcp host 172.16.1.2 eq smtp any 0 0
Этот оператор разрешает любые TCP-соединения с сервером электронной почты,
направляемые к порту SMTP и исходящие из любого порта. Ввиду того, что команда
394
Часть IV. Настройка CiscoSecure PIX Firewall

conduit допускает указание как протокола, так и порта, при настройке брандмауэра у
вас имеется возможность выбора более строгих или, наоборот, менее строгих ограни-
ограничений. Если сервер FTP выполняется на той же машине, что и система электронной
почты, возникает необходимость в отдельном канале. В примере 11.10 показан еще
один вариант использования команды conduit.
(Пример 11.10. Команда conduit, разрешающая доступ FTP
Pixfirewall(config)#conduit permit tcp host 172.16.1.2 eq ftp host 199.199.199.37 0 0
Данный оператор разрешает трафик TCP к FTP-порту сервера электронной почты
только с указанного хоста Internet, но с любого порта. Помните о том, что хотя ин-
информация, направляемая портам, связанным с определенными приложениями, имеет
специальный вид, исходные порты обычно выбираются произвольно из области зна-
значений свыше 1024. Это следует иметь в виду при настройке брандмауэра, чтобы не
создавать правила, которые никогда не будут выполнены.
В примере 11.11 показан еще один вариант применения команды conduit.
j Пример 11.11. Команда conduit, разрешающая доступ #1ь с любого 1оста j
Pixfirewall(config)!conduit permit tcp host 172.16.1.1 eq www any 0 0
Здесь разрешается весь стандартный трафик HTTP, направленный к Web-серверу.
Замечание
Команды nat и global — это односторонние трансляции, разрешающие "выход" внут-
внутреннему трафику (возвратный "диалоговый" трафик разрешен). Статические трансля-
трансляции являются двусторонними отношениями, и команда conduit активизирует разре-
разрешения элементам интерфейса с низким уровнем защиты получить доступ к устройст-
устройствам с высшим уровнем защиты, определенным статическими трансляциями.
Разрешение доступа ping и фильтрация ICMP
Еще одним важным моментом, о котором следует упомянуть, является использо-
использование сообщений ICMP, которые оказываются ценным средством при проверке связ-
связности сети. С другой стороны, с помощью таких сообщений хакеры могут зондиро-
зондировать вашу сеть с целью выявления доступных устройств.
Команду conduit можно использовать для того, чтобы разрешить или запретить
движение сообщений ICMP от интерфейсов с низким уровнем защиты к интерфейсам
с высоким уровнем защиты. Ввиду того, что частным хостам (высший уровень заши-
зашиты) позволено отправлять любые данные бесконтрольно, имеет смысл контролировать
движение в пути передачи.
Существует ряд различных типов сообщений ICMP, и команда conduit брандмау-
брандмауэра PIX Firewall позволяет фильтровать 18 из них. Логично, хотя это и может зависеть
от требований конкретного вида бизнеса, запретить любые типы ICMP-запросов и
разрешить любые типы ICMP-сообщений и ответов. Это позволит внутренним стан-
станциям получать ответы на ICMP-запросы, но запретит неизвестным лицам сканиро-
сканировать вашу сеть. Проще говоря, следует разрешить то, что вы считаете нужным, и за-
запретить все остальное.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 395

В примере 11.12 показана группа команд conduit, выполняющих одну задачу: здесь
демонстрируется метод комбинирования различных ICMP-типов с целью реализации
определенной политики защиты.
Pixfirewall(config)fconduit permit icmp any any echo-reply
Pixfirewall(config)fconduit permit icmp any any unreachable
Pixfirewall(config)fconduit permit icmp any any redirect
Pixfirewall(config)#conduit permit icmp any any time-exceeded
Pixfirewall(config)fconduit deny icmp any any
В табл. 11.1 представлены различные типы пакетов ICMP, которые может фильтровать
брандмауэр PIX Firewall. Помните о том, что от интерфейса с высшим уровнем защиты к
интерфейсу с низшим уровнем защиты разрешается движение всех пакетов, поэтому здесь
мы имеем дело только с пакетами, движущимися в обратном направлении.
-гт
Таблица 11.1. Коды ICMP-типов, разрешенные в командах conduit
Код ICMP-типа
0
3
4
5
6
8
9
10
11
12
13
14
15
16
17
18
31
32
layspa PIX Firewall ;<,
ICMP-имя
echo-reply
unreachable
source-quench
redirect
alternate-address
echo
router-advertisement
router-solicitation
time-exceeded
parameter-problem
timestamp-reply
timestamp-request
information-request
information-reply
network mask-request
network mask-reply
conversion-error
mobile-redirect
Замечание
Синтаксис любых команд желательно проверять по документации соответствующей
версии программного обеспечения брандмауэра PIX Firewall. По мере добавления но-
новых возможностей синтаксис команд может меняться.
396
Часть IV. Настройка Cisco-Secure PIX Firewall

При построении очень больших списков команд conduit следует помнить о том,
что эти команды выполняются в порядке появления в конфигурации. Перемещая или
добавляя операторы conduit, можно существенно изменить логику (и функциональ-
функциональные возможности) брандмауэра PIX Firewall, если не задумываться о порядке разме-
размещения команд. Брандмауэр PIX Firewall поддерживает в конфигурации до 8000 опера-
операторов conduit. Вероятнее всего, ваша сеть не потребует столь сложной конфигурации.
Настройка вывода Syslog
Теперь, когда настроены интерфейсы, определена трансляция адресов и установ-
установлены разрешения с помощью команд conduit, вы, вероятно, захотите активизировать
создание контрольных записей, чтобы иметь возможность вовремя обнаружить дейст-
действия хакеров или проблемы функционирования самого брандмауэра PIX Firewall. Еще
одной причиной желательности контрольных записей является тестирование конфи-
конфигурации на предмет того, что она работает так, как предполагалось. Например, если
вы установили новый почтовый сервер для одного из отделений вашей компании и
определили все необходимые трансляции, но пользователи жалуются, что никто не
может получить доступ к новому серверу, можно проанализировать протоколы кон-
контрольных записей и выяснить, почему соответствующим хостам запрещается доступ к
порту SMTP вашего нового почтового сервера.
При наличии контрольных записей можно быстро определить, что причиной проблемы
является, например, опечатка в IP-адресе, допущенная в операторе conduit, или то, что вы
добавили в конфигурацию оператор conduit без учета уже имеющихся команд, так что но-
новый оператор permit оказался размещенным после большого оператора deny.
Активизировать запись сообщений в журнал брандмауэра PIX Firewall очень про-
просто. Сначала следует убедиться, что в сети имеется функционирующий сервер syslog, и
выяснить, на каком интерфейсе брандмауэра PIX Firewall этот сервер размещен. Все
блоки UNIX могут быть (и являются по умолчанию) серверами syslog. Кроме того,
ССО (Cisco Connection Online) предлагает бесплатный сервер PIX Firewall Syslog
Server (PFSS) для систем на базе Microsoft Windows NT.
Чтобы активизировать запись данных в сервере syslog, необходимо сообщить
брандмауэру PIX Firewall, куда следует посылать данные. Для настройки начальной
регистрации используйте следующую команду.
logging host интерфейс ip адрес [протокол/порт]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
интерфейс Имя интерфейса брандмауэра PIX Firewall (определяемое командой nameif)
ip_anpec IP-адрес сервера syslog
протокол Протокол, в соответствии с которым пересылаются сообщения syslog — tcp или udp
порт Порт, с которого брандмауэр PIX Firewall посылает TCP- или UDP-сообщения syslog
(по умолчанию это порт 514)
Существуют и другие возможности заставить контрольные записи сообщать то, что
вам требуется.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 397

Чтобы указать число сообщений, сохраняемых в памяти до того, как они посыла-
посылаются серверу syslog, используйте следующую команду.
logging queue число
Параметр команды описан в следующей таблице.
Параметр команды Описание
число Указывает число сообщений, сохраняемых в буфере до того, как они будут отправ-
отправлены по сети. По умолчанию число сообщений равно 512. Значение 0 означает от-
отсутствие ограничений на число сообщений
Используйте эту команду с префиксом по, чтобы отменить отправку контрольных
записей консольному порту брандмауэра PIX Firewall.
Чтобы перейти к более высокому уровню регистрируемых сообщений (табл. 11.2),
используйте следующую команду.
logging trap уровень
Сигналы тревоги
Критические сообщения
Сообщения об ошибке
Предупреждающие сообщения
Уведомления
Информационные сообщения
Сообщения отладки
Аппаратные ошибки, отказы, ошибки интерфейсов
Отказы/попытки соединения
Превышение числа соединений, отсутствие свободных IP-адресов в
пулах и т.д.
Ошибки IPSec, PPP и т.д.
Окончание сеансов аутентификации, запрет URL/Java/ActiveX
Отказ в аутентификации, запрет TCP, установка ассоциаций
защиты (IPSec, PPP)
Поиск URL, запрет входящих связей (отсутствие соответствую-
соответствующего объекта xlate)
Для того чтобы направить сообщения в буфер, содержимое которого можно про-
просмотреть с помощью команды show logging, используйте следующую команду.
logging buffered уровень
Для задания длины очереди для буфера регистрации примените следующую
команду.
logging queue число
Чтобы обеспечить точность отображаемого времени в контрольных записях, ис-
используйте следующую команду.
clock set чч:ж:сс месяц день год
logging timestamp
Теперь давайте рассмотрим некоторые типичные сообщения syslog. CCO и ваш
компакт-диск с документацией предлагают полный список всех сообщений syslog и их
описания, чтобы вы имели возможность разобраться в протоколах и понять соответст-
соответствующую информацию.
398
Часть IV. Настройка Cisco-Secure PIX Firewall

Замечание
По умолчанию сообщения syslog посылаются в виде пакетов UDP с номером пор-
порта, равным 514. Программа Cisco PFSS позволяет для сообщений syslog исполь-
использовать TCP. Это дает более высокую гарантию того, что сообщения будут зареги-
зарегистрированы, но создает другие проблемы. Предположим, что для передачи сооб-
сообщений syslog серверу PFSS используется TCP, а блок NT испытывает недостаток
дискового пространства. В этом случае брандмауэр PIX Firewall не позволит соз-
создание новых соединений, так как он не будет иметь возможности записать кон-
контрольную информацию. Это мера защиты! Причина такого поведения системы —
необходимость обеспечения защиты ночью. Если хакер сможет заполнить диск
сервера syslog, а затем начать атаку, то записи о начале такой атаки создано не
будет. Поэтому, хотя такое поведение системы и оказывается разумным, каждый
администратор должен знать об этом, прежде чем принять решение об использо-
использовании TCP для передачи сообщений.
Просматривая файл syslog (сохраняемый сервером syslog в виде открытого текста в те-
течение дня), вы найдете в нем множество различных сообщений о событиях, происшедших
в сети. Ниже предлагается несколько примеров соответствующих записей. В примере 11.13
показано сообщение о попытке доступа к порту, для которого в конфигурации нет соот-
соответствующего разрешения, заданного с помощью команды conduit.
Пример 11.13. Запрещенная попытка доступа TCP ^^.^уу-^уУ-у^'''-'''^
<162>Мау 07 2000 08:16:44: %PIX-2-106001: Inbound TCP connection denied from
202.105.111.13/1160 to 208.158.37.5/8080 flags SYN
Сообщение в примере 11.14 говорит о том, что кто-то пытался получить доступ к
Web-серверу с указанным адресом. (Возможно, это указывает на ошибку в команде
conduit, запретившей доступ к Web-серверу, который должен быть доступным.)
Пример 11.14. Запрещенная попытка доступа к Web-серверу ШЗ- \ % %\
<162>Мау 07 2000 12:35:27: %PIX-2-106001: Inbound TCP connection denied from
209.86.158.174/1108 to 208.158.37.28/80 flags SYN
Сообщение в примере 11.15 показывает, что кто-то пытался установить соединение
IRC (Internet Relay Chat — "интернетовские посиделки") с машиной, которая не име-
имеет канала (разрешения) для этого типа соединения. Вероятнее всего, сервера IRC во
внутренней сети просто нет.
I Пример 11.15. Сообщение, свидетельствующее о запрете соединения s j
fe ''ъ':%'^, '""¦'¦;Д с общим портом IRC ;?i||. Р %&'^ *и%: .-<Л> •,-. ^.:- -. ¦'*?:
<162>Мау 07 2000 12:36:59: %PIX-2-lo5001: Inbound TCP connection denied from
24.49.167.76/39401 to 208.158.37.10/6667 flags SYN
Сообщение в примере 11.16 показывает, что кто-то пытался найти сервер RPC
(Remote Procedure Call — удаленный вызов процедур), чтобы иметь потенциальную
возможность эксплуатировать устаревшую систему (если такая система обнаружится).
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 399

<162>May 07 2000 21:24:04: ШХ-2-106001: Inbound TCP connection denied from
211.34.149.1/1633 to 208.158.37.10/111 flags SYN
В примере 11.17 показано, что кто-то сканировал сеть с помощью команд NetBIOS
со своего компьютера. При использовании брандмауэра администратор может прове-
проверить, был ли этот вид соединения разрешен, и обнаружить методическое сканирова-
сканирование на предмет наличия машин, потенциально пригодных для использования.
<162>Мау 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2402 to 208.158.37.10/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2402 to 208.158.37.10/139 flags SYN
<162>May 07 2000 21:36:40: %PIX-2-106001: Inbound TCP connection
denied from 216.77.240.61/2404 to 208.158.37.12/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2405 to 208.158.37.13/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2406 to 208.158.37.14/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2412 to 208.158.37.20/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2413 to 208.158.37.21/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2423 to 208.158.37.31/139 flags SYN
<162>May 07 2000 21:36:40: ШХ-2-106001: Inbound TCP connection
denied from 216.77.240.61/2424 to 208.158.37.32/139 flags SYN
Порты 137-139 используются системами Microsoft для связи NetBIOS. Вы, вероят-
вероятно, захотите ограничить этот тип доступа из Internet к вашей частной сети. Если та-
такой тип связи необходимо разрешить, убедитесь в том, что ваши системы Windows NT
достаточно защищены.
Существуют брандмауэры, которые разрабатываются под конкретные машины и под-
поддерживают указанные сценарии. Если требуется доступ к сервисам Windows NT через
Internet, если администрирование брандмауэра и системы NT осуществляется разными
объектами или имеются какие-то иные причины, то до тех пор, пока системы защищены,
проблем не возникает. Хорошими брандмауэрами, разработанными специально для защи-
защиты конкретных систем, являются Blacklce Defender и Blacklce Pro. Более подробная ин-
информация по этому вопросу предлагается на странице www.networicice.com.
Контрольные записи оказываются полезными и тогда, когда кто-то пытается про-
проникнуть в сеть (если имеются каналы в виде разрешений conduit или случайные бре-
бреши в старых версиях программного обеспечения). Способность продемонстрировать
доказательства сканирования и последующего проникновения в систему оказывается
очень важным моментом при применении законных санкций к нарушителям. Разные
страны имеют различные законы, регламентирующие подобные действия, поэтому
400
Часть IV. Настройка Cisco-Secure PIX Firewall

проконсультируйтесь у специалистов по законодательству, как лучше реализовать со-
соответствующие возможности брандмауэра.
Замечание
Брандмауэр не всегда является единственной (или последней) возможностью защи-
защиты сети. Как вы уже могли убедиться из предыдущих глав, различные возможности
защиты могут комбинироваться с целью получения наиболее подходящего решения.
Сеть может состоять из множества частей, а может быть и единой.
Каким бы ни был ваш бизнес, убедитесь в том, что рассмотрены все соответст-
соответствующие вопросы защиты. Настройка брандмауэра не является единственной целью.
Разрешенный трафик тоже должен контролироваться. Например, если сервис DNS
выполняется на достаточно старых системах UNIX, то вам придется разрешить про-
прохождение запросов DNS и соответствующего трафика через брандмауэр. Предполо-
Предположим, что некоторые недостатки старых систем DNS/BIND позволяют хакеру получить
доступ к вашей системе. Поскольку вы разрешили трафик через брандмауэр, система
PIX Firewall придет к заключению, что все в порядке, даже если это не так. Вовремя
обновляйте используемые системы и старайтесь своевременно узнавать о выявлении
новых недостатков систем и о появлении соответствующих "заплат". Для этого прове-
проверяйте страницы www.cert.org или www.sans.org.
Настройка аутентификации
пользователей
Зачастую, кроме определения каналов и статических отображений адресов, для
реализации политики защиты в сети требуется иметь более надежные средства аутен-
аутентификации и авторизации.
Чтобы централизованно управлять доступом пользователей и их правами, созданы
приложения, позволяющие управление глобальной конфигурацией множества уст-
устройств. Это избавляет администратора от необходимости внесения изменений в кон-
конфигурацию каждого устройства в отдельности.
Настройка сервера ААА брандмауэра PIX Firewall
Как уже обсуждалось в части II, сервер аутентификации, авторизации и аудита
(сервер ААА) выполняет следующие три функции.
• Аутентификация. Функции разрешения доступа, когда сеансы контролируются в
терминах разрешения или запрета доступа соответствующим объектам.
• Авторизация. Более совершенные службы, например, позволяющие одним поль-
пользователям использовать Web, а другим — нет.
• Аудит. Учет применения сервисов с целью предъявления счетов за использование
определенных ресурсов или просто с целью контроля. Когда средства аудита ААА
активизированы, брандмауэр PIX Firewall сообщает о действиях пользователя серве-
серверу TACACS+ или RADIUS в виде контрольных записей базы данных аудита.
Сервер TACACS+ или RADIUS может анализировать эти данные и компилировать
новые с целью осуществления сетевого управления, контроля или взимания платы.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 401

Первым шагом является информирование брандмауэра PIX Firewall о том, как по-
получить доступ к серверу ААА и как обращаться к нему.
Следующая команда предназначена для инициализации настройки сервера ААА.
aaa-server тег_группы [имя_интерфейса) host гр_сервера ключ timeout секунды
aaa-server тег_группы protocol протокол_аут
Параметры команды описаны в следующей таблице.
Параметр команды
Описание
тег_группы Указывает имя, представляющее группу партнеров аутентификации
имя_иитерфейса Имя интерфейса брандмауэра PIX Firewall (определяемое командой nameif), с
которого разрешен доступ к серверу ААА
host 1р_сервера IP-адрес сервера ААА
ключ Пароль, используемый совместно с сервером ААА
timeout секунды Предельное время ожидания ответа сервера ААА брандмауэром PIX Firewall до
обращения к следующему серверу ААА из соответствующего списка
protocol протокол_аут Указывает протокол защиты, например radius или tacacs+
Параметр тег_группы оказывается важным в тех случаях, когда имеется необходи-
необходимость аутентифицировать различные сервисы и адреса источников с разными типами
услуг (RADIUS, TACACS+ и т.д.). Можно определить до 16 значений тег_группы, ха-
характеризующих состояния 16 серверов ААА. Это в совокупности дает 256 пригодных к
использованию серверов ААА, что существенно превышает любые реально необходи-
необходимые требования. Команда ааа server-group заменила команды aaa-tacacs и ааа-
radius в брандмауэре PIX Firewall версии 4.4A).
Чтобы начать процесс настройки конфигурации сервисов ААА, необходимо иметь
следующую информацию.
• IP-адрес сервера ААА (например, 10.1.1.4).
• Название используемого протокола ААА. В наших примерах используется сервер
CiscoSecure ACS, поэтому соответствующим протоколом является TACACS+.
• Общий ключ (пароль) для обмена данными с сервером ААА (в нашем случае
паролем будет cieco).
На рис. Ц.З показана схема связи сервера ААА с брандмауэром PIX Firewall.
Команды, которые должны при этом использоваться в брандмауэре PIX Firewall,
показаны в примере 11.18.
Pixfirewall(config)#aaa-server main protocol tacacs+
Pixfirewall(config)iaaa-server main (inside) host 10.1.1.4 cisco timeout 20
Примеры настройки средств ААА
Теперь, когда брандмауэр PIX Firewall осведомлен о существовании сервера ААА в се-
сети, можно приступить к реализации конкретных требований политики защиты в рамках
возможностей ААА. Рассмотрим команды, используемые для настройки сервисов ААА.
402
Часть IV. Настройка CiscoSecure PIX Firewall

Маршрутизатор
периметра
Удаленный
пользователь
Рис. 11.3. Брандмауэр PIX Firewall в сети, предлагающей сервис защиты ААА
ааа authentication {include | exclude} сервяс_аут
{inbound | outbound | иня_интерфейса) локальн_1р локэльн_ыаска
внешн_1р внешн_маска тег_группы
ааа authorization {include | exclude} сервис_авт
{inbound | outbound | нмя_интерфейса} покапьн_1р локалън_маска
вяешя_1р внешн_маска
ааа accounting {include | exclude} сервис_ауд
{inbound | outbound | имя_интерфейса) локальн_1р покапьн_ыаска
внеши_1р внешн_маска тег_группы
Параметры команды описаны в следующей таблице.
Параметр команды Описание
include Создает новое правило, включающее указанный сервис
exclude Создает исключение для ранее определенного правила с помощью отказа от необхо-
необходимости аутентификации указанного сервиса для данного хоста. Позволяет указать
порт для конкретного хоста (или хостов)
сервнс_аут Сервисы, требующие аутентификации для движения через брандмауэр. Можно ис-
использовать any, ftp, http или telnet. Значение any означает аутентификацию для
всех сервисов TCP
сервнс_авт Сервисы, требующие авторизации. Можно использовать any, ftp, http или telnet.
Для неуказанных сервисов выполняется неявная авторизация. Сервисы, указанные в
команде ааа authentication, не влияют на авторизацию
сервнс_ауд Сервис аудита. Контроль можно распространить как на все сервисы, так и на один или
несколько типов сервиса. Допустимыми значениями являются any, ftp, http и
telnet. Используйте any, чтобы обеспечить аудит для всех сервисов TCP. Чтобы
обеспечить аудит для сервисов UDP, используйте форму "протокол/порт" команды
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall
403

Параметр команды Описание
inbound Аутентификация входящих соединений. "Входящие" означает, что соединения исходят
от интерфейса с низшим уровнем защиты в направлении интерфейса с высшим уров-
уровнем защиты
outbound Аутентификация исходящих соединений. "Исходящие" означает, что соединения исхо-
исходят от интерфейса с высшим уровнем защиты в направлении интерфейса с низшим
уровнем защиты
имя_интерфейса Имя интерфейса, при обращении с которого требуется аутентификация пользователя.
Используйте имя интерфейса в комбинации с адресами покатая ip и виеши ip,
чтобы выяснить, откуда исходит попытка доступа. Адрес покальи_1р всегда размеща-
размещается на интерфейсе с высшим уровнем защиты, а виешн ip — на интерфейсе с низ-
низшим уровнем защиты
nonanbH_ip IP-адрес хоста или сети, которые следует аутентифицировать. Можно установить этот
адрес равным 0, чтобы обозначить все хосты и позволить серверу аутентификации
самому решить, какие хосты следует аутентифицировать
локалъи_маска Сетевая маска для локальи ip. Всегда указывайте конкретное значение маски. Ис-
Используйте 0, если для IP-адреса указано 0. Для хоста используйте 255.255.255.255
BHenm_ip IP-адрес хостов, которым разрешается доступ к адресу локальи ip. Используйте О,
чтобы обозначить все хосты
внешн_маска Сетевая маска для виеши ip. Всегда указывайте конкретное значение маски. Исполь-
Используйте 0, если для IP-адреса указано 0. Для хоста используйте 255.255.255.255
тег_группы Тег группы, назначенный командой aaa-server
Как в большинстве других команд брандмауэра PIX Firewall, в IP-адресах и сетевых
масках 0 является сокращением 0.0.0.0. Некоторые примеры команд аутентификации ААА
брандмауэра PIX Firewall предлагаются ниже. В примере 11.19 показано требование авто-
авторизации для любого исходящего сеанса Telnet от сервера ААА с именем main.
Pixfirewall(config)iaaa authorization telnet outbound 0 0 0 0 main
В примере 11.20 показано требование авторизации всех сеансов, исходящих от сер-
сервера ААА с именем main.
'* 1НСОВ
Pixfirewall(config)iaaa authorization any outbound 0 0 0 0 main
В примере 11.21 указано получение информации сервера ААА с именем main, не-
необходимой для аутентификации доступа к консольному порту брандмауэра PIX.
Pixfirewall(config)iaaa authentication any serial console main
404
Часть IV. Настройка CiscoSecure PIX Firewall

Команды всех трех примеров могут использоваться для контроля исходящего дос-
доступа к Internet со стороны пользователей и внутренних сетевых устройств. Те же ко-
команды можно применить и для контроля действий пользователей, а также для того,
чтобы разрешить или запретить им использовать определенные сервисы.
Сервисы ААА позволяют, даже в очень большой сети, реализовать политику защи-
защиты, имеющую высокую степень детализации. Соответствующие возможности огромны
и поэтому должны использоваться аккуратно. Излишние требования авторизации и
аутентификации означают лишнюю нагрузку на брандмауэр PIX Firewall, сервер ААА,
сеть и пользователей. Как и всегда, в этом деле необходим баланс.
Пример аутентификации PIX Firewall
Как было выяснено выше, тип сервиса (в данном случае аутентификация) ААА оп-
определяется соответствующими параметрами командной строки. В примере 11.22 пред-
предлагается еще один вариант аутентификации.
1 Пример 11.22. Аутентификация всех входящих сеансов связи через
I брандмауэр PIX Firewall
Pixfirewall(config)jfaaa authentication any inbound 0 0 0 0 main
Эта команда требует аутентификации любого входящего потока к любому серверу
от любого хоста. Аутентификация выполняется через сервер TACACS+ с именем main.
Процесс выполняется по следующей схеме.
1. Для входящего трафика (после его проверки средствами conduit и при необходи-
необходимости аутентификации) брандмауэр PIX Firewall возвращает приглашение ввести
имя пользователя на станцию, инициировавшую трафик. После получения ответа
брандмауэр открывает сеанс связи с соответствующим сервером и осуществляет
передачу информации.
2. Сервер ААА осуществляет поиск предъявленного имени пользователя и определя-
определяет тип требуемой аутентификации (скажем, идентификационная карта, пароль
CiscoSecure или обычный пароль). После того как эта информация будет предос-
предоставлена, брандмауэр PIX Firewall запросит соответствующий тип пароля у пользо-
пользователя, инициировавшего трафик.
3. Возвращенный пароль отправляется серверу ААА для проверки. Ответ сервера
предъявляется брандмауэру PIX Firewall, и запрос сеанса либо удовлетворяется,
либо отвергается. Кроме запроса имени пользователя и пароля, все остальные
функции оказываются скрытыми от конечного пользователя.
Пример авторизации PIX Firewall
Как было указано выше, тип сервиса (в данном случае авторизация) ААА опреде-
определяется соответствующими параметрами командной строки. В примере 11.23 предлага-
предлагается вариант настройки средств авторизации брандмауэра PIX Firewall.
Пример 11.23. Авторизация всех входящих сеансов FTP чер|||рандмау-
SecurePIX(config)*aaa authorization ftp inbound 0 0 0 0 main
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 405

Эта команда требует авторизации входящего трафика FTP, направленного к любому
серверу с любого хоста. Авторизация выполняется через сервер TACACS+ с именем main.
По завершении аутентификации, если требуется авторизация запрошенного серви-
сервиса, брандмауэр PIX Firewall отправляет серверу ААА соответствующую информацию.
Сервер ААА выполняет поиск файла профиля пользователя и проверяет, разрешены
ли пользователю запрошенные действия. Если разрешение имеется, запрошенный
сервис становится доступным пользователю.
Пример пользовательского профиля на сервере CiscoSecure ACS может выглядеть
так, как показано в примере 11.24.
Profile_cycle
Profile~id = 8
Password = clear "cisco"
Set Server current failed_login = 0
Service = Shell {
Cmd = ftp {
Permit 10.1.1.6
Пример аудита PIX Firewall
Как было указано выше, тип сервиса (в данном случае аудит) ААА определяется
соответствующими параметрами командной строки. В примере 11.25 предлагается ва-
вариант настройки средств аудита брандмауэра PIX Firewall.
Pixfirewall(config)jfaaa accounting any inbound 0 0 0 0 main
Эта команда активизирует статистический учет параметров (например, имена пользова-
пользователей, сервисы, длительность использования, штампы времени) для всех входящих соеди-
соединений. Соответствующая информация отправляется серверу TACACS+ с именем main, где
может происходить статистическая обработка данных и могут генерироваться отчеты.
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Использование множества интерфейсов позволяет усовершенствовать защиту сети.
• Для защиты сети от "внешнего мира" используют ДМЗ и множество интерфейсов.
• Настройка внутреннего интерфейса брандмауэра PIX Firewall для ДМЗ осуще-
осуществляется с помощью команд global и nat, при использовании ряда достаточно
сложных методов.
406 Часть IV. Настройка CiscoSecure PIX Firewall

• Настройка внешнего интерфейса брандмауэра PIX Firewall для ДМЗ осуществ-
осуществляется с помощью команд static и conduit, в результате чего в брандмауэре
PIX Firewall реализуется соответствующая политика защиты.
• Брандмауэр PIX Firewall можно настроить на разрешение доступа ping и фильт-
фильтрацию множества типов сообщений ICMP.
• Настройка вывода syslog осуществляется для того, чтобы контролировать теку-
текущую производительность и состояние брандмауэра PIX Firewall.
• Аутентификация, авторизация и учет действий пользователей при доступе к се-
сетевым сервисам осуществляется через сервер ААА с целью усиления защиты.
Практическое занятие. Настройка
множества интерфейсов и средств
ААА брандмауэра PIX Firewall
Это практическое занятие иллюстрирует возможности настройки множества ин-
интерфейсов и средств ААА брандмауэра PIX Firewall в сети гипотетической компании
XYZ. Прочитайте план практического занятия, рассмотрите схему топологии сети, оз-
ознакомьтесь с политикой защиты, а затем проанализируйте предлагаемые примеры
конфигурации, чтобы увидеть, как требования политики защиты реализуются в виде
команд брандмауэра PIX Firewall.
План практического занятия
Компании XYZ требуется установить брандмауэр PIX Firewall в главном здании,
размещенном на территории предприятия. Часть этого здания компания XYZ сдает в
субаренду партнерам (сеть которых является для компании внешней), обеспечивая им
в качестве бонуса связь с Internet. Для надежности компания XYZ имеет двух постав-
поставщиков услуг Internet. Компания XYZ намерена использовать брандмауэр PIX Firewall
со множеством интерфейсов, чтобы обеспечить защиту сетевых соединений с каждым
сегментом сети и с Internet.
Топология
На рис. 11.4 показана базовая схема сети компании XYZ, рассматриваемой в ходе
данного практического занятия.
Структура сети и политика сетевой защиты
Структура сети и политика сетевой защиты должны быть реализованы с учетом
следующих требований компании XYZ.
• IP-адреса:
• административная сеть (локальная): 10.1.1.0/24;
• сеть клиента 1 (локальная): 10.2.1.0/24;
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 407

• сеть клиента 2 (локальная): 10.3.1.0/24;
• ДМЗ (локальная): 192.168.11.0/24;
• поставщик 1 (глобальная): 192.168.1.0/24;
• поставщик 2 (глобальная): 192.168.2.0/24.
Рис. 11.4. Структура сети головного офиса компании XYZ
Трансляция сетевых адресов:
• управление класса С использует трансляцию PAT с адресом 192.168.1.127;
• управление класса С использует диапазон глобальных IP-адресов от
192.168.1.10 до 192.168.1.126 (включительно);
• клиент 1 использует глобальные адреса в диапазоне от 192.168.1.128 до
192.168.1.254 (включительно);
• клиент 2 использует глобальные адреса в диапазоне от 192.168.2.128 до
192.168.2.254 (включительно);
• все остальное (или дополнительное) управление и внутренние IP-адреса клиен-
клиентов должны использовать для пула трансляции остальные глобальные адреса;
• внутренние клиенты связываются с помощью полнодуплексных Ethernet-
соединений типа 100BaseTX;
• поставщики услуг Internet связываются с помощью полудуплексных
Ethernet-соединений типа lOBaseT.
Некоторые адреса в ДМЗ будут отображаться статически.
Доступ ICMP извне ограничивается, но разрешаются ответы на трафик, порож-
порожденный изнутри.
Активизируется сервис syslog со следующими параметрами:
408
Часть IV. Настройка CiscoSecure PIX Firewall

• маршрутизатору периметра дается возможность посылать сообщения syslog в
адрес 10.1.1.5 локальной сети администрирования;
• сервис syslog связывается с адресом 10.1.1.5;
• сообщения syslog должны включать информацию об отказах установки сеансов;
• размер буфера syslog должен быть равным 1 Кбайт информации.
• Серверу ААА назначается адрес 10.1.1.4 локальной сети администрирования.
• Для доступа к частному Web-узлу активизируется аутентификация и аудит ААА.
Пример конфигурации брандмауэра PIX Firewall
компании XYZ
Изучите пример 11.26, в котором предлагается вариант конфигурации брандмауэра PIX
Firewall компании XYZ. В этом примере реализуются описанные выше требования поли-
политики защиты. Здесь показана лишь одна из возможных конфигураций, реализующих дан-
данную политику. Можно сконфигурировать брандмауэр PIX Firewall иначе, обеспечив вы-
выполнение тех же требований. Обратите внимание на комментарии, объясняющие связь
команд конфигурации с конкретными требованиями политики защиты.
конфигурации брандмауэра PIX Firewall компании XYZ
риант конфи
pixliwrite terminal
Building configuration...
: Saved
PIX Version 5.1B)
! Команды nameif, определяющие конфигурацию интерфейсов и уровни защиты.
! Помните о том, что связь между интерфейсами одного веса не позволяется.
nameif ethernetO providerl securityO
nameif ethernetl admin securitylOO
nameif ethernet2 dmz security60
nameif ethernet3 clientl securitySO
nameif ethernet4 client2 securitySO
nameif ethernetS provider2 securitylO
enable password A0ywFtG5fs31jpjx encrypted
passwd FSbblTfmfXKC.viH encrypted
hostname pixl
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
l Активизирует отправку контрольной информации серверу syslog.
logging timestamp
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 409

no logging standby
no logging console
no logging monitor
logging buffered errors
logging trap informational
logging facility 20
logging queue 1024
logging host admin 10.1.1.5
.' Дополнительная информация для коифигурации иитерфейсов Ethernet.
interface ethernetO lObaset
interface ethernetl lOOfull
interface ethernet2 lOOfull
interface ethernet3 lOOfull
interface ethernet4 lOOfull
interface ethernet5 lObaset
mtu providerl 1500
mtu admin 1500
mtu clientl 1500
mtu client2 1500
mtu dmz 1500
mtu provider2 1500
.' Дополнительная информация для коифигурации интерфейсов Ethernet.
ip address admin 10.1.1.1 255.255.254.0
ip address clientl 10.2.1.1 255.255.0.0
ip address client2 10.3.1.1 255.255.0.0
ip address dmz 192.168.11.1 255.255.255.0
ip address providerl 192.168.1.1 255.255.255.252
ip address provided 192.168.2.1 255.255.255.252
.' Замечание. Адреса провайдера обычно задаются провайдером
! и не обязательно принадлежат диапазону IP-адресов, используемых глобально.
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
У Информация для пула NAT клиента.
nat (admin) 1 10.1.1.0255.255.255.0
nat (admin) 2 10.1.4.0 255.255.255.0
nat (clientl) 3 10.2.1.0 255.255.255.0
nat (client2) 4 10.3.1.0 255.255.255.0
nat (admin) 5 0.0.0.0 0.0.0.0
nat (clienti) 5 0 0 ! (это то же самое, что и 0.0.0.0)
nat (client2) 5 0 0
global (providerl) 1 192.168.1.10-192.168.1.126
global (providerl) 2 192.168.1.127
global (providerl) 3 192.168.1.128-192.168.1.253
global (provided) 4 192.168.2.128-192.168.2.254
global (providerl) 5 192.168.1.254
410 Часть IV. Настройка CiscoSecure PIX Firewall

.' Конфигурация статнк и каналов NAT.
static (dmz,provider1) 192.168.1.10 10.1.1.4 netmask 255.255.255.255 0 0
static (dmz,provider1) 192.168.1.13 10.1.1.5 netmask 255.255.255.255 0 0
static (dmz,providerl) 192.168.1.11 192.168.11.3 netmask 255.255.255.255 0 0
static (dmz,provider1) 192.168.1.12 192.168.11.4 netmask 255.255.255.255 0 0
conduit permit tcp host 192.168.1.12 eq smtp any 0 0
conduit permit tcp host 192.168.1.11 eq www any 0 0
conduit permit tcp host 192.168.1.11 eq ftp any 0 0
conduit permit tcp host 192.168.2.11 eq ftp any 0 0
conduit permit tcp host 192.168.1.13 eq syslog any 0 0
.' Разрешения для фильтрация ICMP.
conduit permit icmp any any echo-reply
conduit permit icmp any any unreachable
conduit permit icmp any any redirect
conduit permit icmp any any time-exceeded
conduit deny icmp any any
rip providerl passive
no rip providerl default
no rip admin passive
no rip admin default
no rip clientl passive
no rip clientl default
no rip client2 passive
no rip client2 default
no rip dmz passive
no rip dmz default
no rip provider2 passive
no rip provider2 default
timeout xlate 24:00:00 conn 12:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
.' Настройка аутентификации клиента.
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server admin protocol tacacs+
aaa-server admin (admin) host 10.1.1.4 AdminKey timeout 30
aaa authentication http inbound host 0 0 0
aaa accounting http inbound 0 0 0 0 admin
snmp-server location Lexington, KY
snmp-server contact Scott Morris
snmp-server community emanon
snmp-server enable traps
telnet 10.1.1.4 255.255.255.0 admin
telnet timeout 5
terminal width 80
Cryptochecksum:dc2a867907ccf77cb25dl42d34fb3449
: end
Глава 11. Настройка интерфейсов и средств AAA PIX Firewall 411

Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Каковы преимущества использования множества интерфейсов периметра?
2. Какая команда заменила команды aaa-tacacs и aaa-radius в новых версиях
брандмауэра PIX Firewall?
3. Сколько тегов групп позволяет использовать программное обеспечение брандмау-
брандмауэра PIX Firewall и как много серверов разрешено иметь в каждой группе ААА?
4. При добавлении, модификации или удалении операторов global какую команду
следует ввести сразу же после сохранения конфигурации?
5. Сколько операторов conduit может поддерживать брандмауэр PIX Firewall?
6. Какой протокол и номер порта для сообщений syslog используется по умолчанию?
7. Сколько типов пакетов ICMP различают средства фильтрации брандмауэра PIX
Firewall?
8. Куда по умолчанию отправляются контрольные сообщения?
9. Сколько различных уровней защиты можно присвоить интерфейсам?
10. Когда пользователь из Internet начинает сканирование сети с помощью средств
ping, пакеты какого типа регистрируются (и, возможно, отвергаются) брандмау-
брандмауэром PIX Firewall?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного их
понимания и применения приобретенных знаний на практике требуется более глубокое
изучение. Используйте следующие ссылки, чтобы узнать больше о сути проблем, обсуж-
обсуждавшихся в этой главе. Обратитесь также к главе "IP Security and Encryption Overview" ру-
руководства PIX Firewall Release 5.11 Configuration Guide, где предлагается обзор принципов
использования средств NAT и соответствующих протоколов в брандмауэрах PIX Firewall.
Общая информация о брандмауэрах PIX Firewall
Страница поддержки брандмауэров серии CiscoSecure PIX Firewall, предлагающая
множество ссылок и примеры типовых конфигураций, размещена по адресу:
www.cisco.com/cgi-bin/Support/PSP/ psp_vieW.pl?Product_Name=PIX.
Информационная страница программного обеспечения брандмауэра CiscoSecure PIX
Firewall. Необходимая информация может быть найдена на компакт-диске с документаци-
документацией для соответствующей версии брандмауэра, но самая свежая информация предлагается в
сети по адресу: www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm.
Информация о средствах ААА
Информационная страница, размещенная по адресу: www.cisco.com/univercd/cc/td/doc/
product/sofiware/iosl20/12supdoc/dsqcg3/qcsecur.htm, посвящена вопросам применения средств
412 Часть IV. Настройка CiscoSecure PIX Firewall

ААА, в частности, в серверах доступа, но обсуждаемые там внутренние взаимосвязи и
принципы использования ААА также применимы и для брандмауэра.
Общие вопросы защиты
Страница CERT (www.cert.org) предлагает полезную информацию о компьютерных
вирусах и "червях", атаках блокирования сервиса и других проблемах защиты.
SANS (www.sans.org) — это еще одна группа, ориентированная на распространение
информации, касающейся проблем защиты. Соответствующий узел также содержит
информацию о выявленных ошибках в программном обеспечении и операционных
системах и предлагает множество ссылок на сайты соответствующих производителей.
www.cisco.com/kobayashi/sw-center/internet/netsonar.shtml является одной из страниц
узла Центра программного обеспечения Web-узла Cisco, откуда вы можете загрузить
демонстрационную версию сканера CiscoSecure Scanner (ранее носившего название
NetSonar) — программы для проверки уязвимости сети.
www.networkice.com — это адрес Web-страницы, посвященной программному обес-
обеспечению Blacklce Defender и Blacklce Pro для брандмауэров, работающих в системах
Windows и Windows NT.
Информация о программном обеспечении
брандмауэра PIX Firewall
Страница www.cisco.com/cgi-bin/tablebuild.pl/pix содержит обновления программного
обеспечения непосредственно для брандмауэра PIX Firewall, а также другие полезные
утилиты, например сервер PFSS (PIX Firewall Syslog Server) для Windows NT. Для их
загрузки требуется доступ ССО.
Глава 11. Настройка интерфейсов и средств ААА PIX Firewall 413

Изучив материал данной^гарвь^ вь^^Шщ^йышзВйить следу:
• Настроить доп(ирй^ю|^йй^Щрбдства PTV Ei
от вмешательсж||шш1е1Т|р*
• НастроитьЩ)едства PlXjjfirewall, предназначенные для зЩшты сети при отсут-
отсутствии трЗнсйции сетевое адресов.
• Использовать дополнительные парамет^^^^г^^ки бранд&уэра PIX Firewall.
• Пр^верить|правильносд> фШ^^^ировадая PIX FirewaU. J||k
Л
¦;*л&4&?

Глава
12
Использование
дополнительных
возможностей PIX Firewall
Pi В этойутшв! описываются дополнительные возможности брандмауэра PIX Firewall
^шСсоответстаующая информация конфигурации, включая некоторые дополнительные
W' пар^аметрырМАТКЗк'Ъснову взят материал главы 11. В данной главе обсуждаются также
i, методы контроля "исходящего доступа, аналогичные методам контроля входящего дос-
|l тупа, Некоторых цЙЩЬечь в главе 11. Здесь описаны возможности брандмауэра PIX
Щ Firewall,i1iipHMeHHeMbig для блокирования трафика определенного вида, обработки со-
f общений syslog и ^ообрений электронной почты. В главе описано, как брандмауэр
^JPIX^irewall может справляться с отказами, направляя запросы другому брандмауэру,
^g-жкак он обеспечивает поддержку виртуальной частной сети (Virtual Private Network —
VJ|N). Здесь же будет рассмотрена система CSPM (CiscoSecure Policy Manager — ме-
менеджер политики защиты), заменившая систему PIX Firewall Manager.
Усовершенствованная трансляция
сетевых адресов: NAT О
Основы теории трансляции сетевых адресов (средства NAT) обсуждались в преды-
предыдущих главах. Вы у^е мучились использовать команды nat (для описания локальных
IP-адресов) и global Йря описания пула внешних адресов для трансляции). Теперь
мы рассмотрим некоторые более усовершенствованные варианты использования этих
комайд, но сначала вспомним синтаксис команд и предлагаемые ими параметры. Вот
синтаксис командыва^ в ее базовой форме:
!^У'па?-[(имя_интерфейс8)] nat_id локальи_1р [маска [max_conns [em_limit]]] [norandomseq]
Параметры,команды описаны в следующей таблице.
Параметр команды Описание
пУ г.имя' интерфейса Указывает имя сетевого интерфейса, на котором размещаются устройства
nat id :;jf Выполняет роль идентификатора глобального пула

Параметр команды Описание
локалъи_1р Задает IP-адрес внутренней сети для трансляции
маска Указывает сетевую маску для локальи_1р
max_conns Определяет максимальное число TCP-соединений с указанного интерфейса
em_limit Определяет предельное число зарождающихся (полуоткрытых) соединений. Зарож-
Зарождающимися являются соединения, для которых трехшаговая процедура квитирова-
квитирования TCP была начата, но еще не закончена. Лавина таких соединений является попу-
популярным вариантом атак блокирования сервиса
norandomseq Изменяет метод обработки TCP-соединений. По умолчанию брандмауэр PIX Firewall
выбирает случайные порядковые номера TCP. Если на линии имеется другой бранд-
брандмауэр, это может вызвать проблемы из-за несовпадения порядковых номеров, ис-
используемых в TCP-соединениях для выявления пропущенных пакетов и верифика-
верификации. Ключевое слово nonrandomseq отключает рандомизацию. Не забывайте о
том, что отказ от рандомизации открывает брешь в системе защиты
Некоторые дополнительные параметры настройки обсуждались в главе 11. Кроме
того, здесь имеется зарезервированное значение NAT_ID.
Идентификатор NAT 0 зарезервирован для описания адресов, которые транслиро-
транслироваться не должны. Вы можете использовать NAT 0, например, присоединяя компа-
компанию. Допустим, оказывается, что компания "владеет" собственным диапазоном от-
открытых IP-адресов и те же IP-адреса используются для локальных устройств. Если вы
решите разместить эти IP-адреса за брандмауэром, можно воспользоваться командой
из примера 12.1. С этой командой не требуется связывать никакой команды global.
Pixfirewall(config)tnat (ineide) 0 200.200.200.0 255.255.255.0 0 0
Pixfirewall(config)#*Z
Pixfirewall*
В примере 12.1 внутренние адреса 200.200.200.0/24 (адресное пространство класса С)
могут быть как внутренними, так и внешними. Из табл. 12.1 видно, что внутренние и
внешние адреса совпадают. Брандмауэр PIX Firewall, по существу, не транслирует их.
I использовании NAT О
Внутренний адрес
Внешний адрес
200.200.200.1
200.200.200.2
200.200.200.53
200.200.200.1
200.200.200.2
200.200.200.53
Обратите внимание на то, что в табл. 12.1 представлены не все 254 доступных
IP-адреса. Данные трансляции добавляются в таблицу по мере выявления актив-
активности входящих или исходящих связей. Если активности на наблюдается, соот-
соответствующая запись таблицы не формируется.
Еще одним возможным вариантом является использование NAT 0 между интерфей-
интерфейсами. Допустим, имеются интерфейсы 10.1.1.0/24 (inside) и 10.2.2.0/24 (inside2). Чтобы
416
Часть IV. Настройка CiscoSecure PIX Firewall

установить связь между этими двумя внутренними сетями без использования глобаль-
глобальных адресов, можно воспользоваться NAT 0. Сквозная трансляция NAT 0 может сосу-
сосуществовать с другими пулами трансляции адресов, как показано в примере 12.2.
Призёр 12.2; Сосущвствован^^
Pixfirewall(config)#access-list nonat permit ip 10.1.1.0 255.255.255.0
10.2.2.0 255.255.255.0
Pixfirewall(config)tnat (inside) 0 access-list nonat
Pixfirewall(config)#nat (inside) 1 10.1.1.0 255.255.255.0 0 0
Pixfirewall(config)#global (outside) 1 172.16.22.1-172.16.22.254
Pixfirewall(config)#AZ
Pixfirewall*
Контроль исходящего доступа
В предыдущих главах мы обсуждали использование средств NAT и статических
трансляций. Вы также научились использовать операторы conduit для разрешения
входящих соединений. Теперь обсудим вопросы управления исходящим доступом. Ес-
Если вы помните, при обсуждении вопросов использования NAT вы узнали о том, что
по умолчанию внутренним хостам разрешается отправлять любые данные интерфей-
интерфейсам с низким уровнем защиты. Как администратора, вас такое может устраивать не
всегда. В частности, если брандмауэр PIX Firewall имеет множество интерфейсов, с
которыми потенциально связано множество клиентов, вы, скорее всего, захотите ус-
установить ограничения и для исходящего доступа.
Существуют две команды, которые важны для контроля исходящего доступа, — это
outbound (создание списка) и apply (применение списка к интерфейсу). Команда для
исходящих списков доступа отличается от команды, используемой для списков досту-
доступа в маршрутизаторах. В данном случае применяется команда outbound, которая имеет
следующий синтаксис.
outbound 1A_списка {permit | deny} 1р_адрес [маска [Java | порт[-порт]]] [протокол]
outbound 1A_списка except ip_agpec [маска [Java | порт[-порт]]] [протокол]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
permit Разрешает соединение, тип которого задается остальными параметрами команды
deny Запрещает соединение, тип которого задается остальными параметрами команды
1с1_списка Номер-идентификатор списка доступа. Может быть произвольным, так что выбирайте
его на свое усмотрение
1р_адрес IP-адрес хоста или сети
маска Маска, соответствующая сетевому адресу
порт Номер порта TCP/UDP или диапазон номеров портов
Java Определяет трафик порта 80. При использовании с опцией deny брандмауэр блоки-
блокирует аплеты Java. Аплеты Java по умолчанию разрешены, так что для их разрешения
специального упоминания не требуется
Глава 12. Использование дополнительных возможностей PIX Firewall 417

Параметр команды Описание
протокол Ограничивает список до TCP, UDP или ICMP. Если ничто не указано, то по умолчанию
используется TCP
except Создает исключения для правил, ранее установленных операторами outbound permit или
deny. Остальные параметры оператора except аналогичны описанным выше
После создания выходного списка доступа необходимо применить его к интерфей-
интерфейсу. Синтаксис используемой для этого команды apply является следующим.
apply [{имя интерфейса)] id_cnncna {outgoing_src | outgoing dest}
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_иитерфейса Имя интерфейса, заданное командой nameif. Как и в большинстве других команд,
имя интерфейса заключается в круглые скобки
id списка Число, соответствующее списку исходящего доступа, существующего в брандмауэре
PIX Firewall
outgoing_src Говорит о том, что операторы permit или deny списка доступа связаны с IP-
адресами источника внутри брандмауэра PIX Firewall (на внутренних интерфейсах)
outgoing_dest Свидетельствует о том, что операторы permit или deny списка доступа связаны с IP-
адресами назначения на внешних интерфейсах (или других интерфейсах с более низ-
низким уровнем защиты)
Снова, как и большинство других команд брандмауэра РГХ Firewall, команды outbound
и apply предоставляют администратору широкие возможности для ошибок при создании
конфигурации. Вычислительные устройства работают в черно-белом мире нулей и единиц,
в котором каждый объект либо удовлетворяет определенным условиям, либо нет. Напри-
Например, пакет либо является пакетом TCP, либо нет. Если это пакет TCP, то он либо направ-
направляется порту 23 (Telnet), либо нет. Если это пакет Telnet, то сеть, от которой он исходит,
либо надежна, либо нет. При этом результат — выбор правильных настроек сети или пре-
превращение сети в совершенно неработоспособную — полностью зависит от администрато-
администратора. Как всегда, реализация политики защиты требует предельной аккуратности.
Списки исходящего доступа определяют набор правил. Оператор apply связывает
список доступа с интерфейсом и активизирует этот список, определяя условия для ад-
адресов источника или получателя. Если оператор apply вводится с ключевым словом
outgoing src, то фильтруются IP-адрес источника, порт и протокол. Если оператор
apply вводится с ключевым словом outgoing dest, то фильтруются IP-адрес назначе-
назначения, порт и протокол. Такой подход применяется в связи с тем, что большинство
приложений используют произвольные (и разные) порты источника, так что их
фильтрование оказывается неэффективным.
Когда брандмауэр РГХ Firewall использует списки операторов outbound, применяется
критерий "наилучшего соответствия", который выявляется с помощью маски IP-адресов и
проверки диапазонов портов. Более конкретные маски IP-адресов (больше битов совпаде-
совпадения) и меньшие диапазоны портов считаются более подходящими. При неоднозначности
оператор permit имеет преимущество по сравнению с оператором deny.
Правила except работают среди других операторов permit и deny. Если создать
список, состоящий только из одного оператора except, то, с точки зрения логики, ни-
ничего требоваться не будет, поэтому такой список не будет иметь никакого влияния.
418 Часть IV. Настройка CiscoSecure PIX Firewall

Замечание
Программное обеспечение брандмауэра PIX Firewall 5.0A) и более поздних версий
позволяет использовать списки доступа, подобные спискам доступа маршрутизато-
маршрутизаторов. Имея возможность назначить спискам доступа имена, вы можете использоаать
для входящего и исходящего трафиков брандмауэра PIX Firewall операторы и форма-
форматы, аналогичные используемым в маршрутизаторе.
Операторы access-list и access-group Cisco IOS в настоящее время включены в про-
программное обеспечение брандмауэра PIX Firewall. Эти "новые" форматы списков дос-
доступа могут сосуществовать с другими типами управления доступом, описанными в
книге. На это следует обратить особое внимание при настройке как одного, так и мно-
множества брандмауэров PIX Firewall в сети. Брандмауэр PIX Firewall всегда может опре-
определить, какие правила соответствуют операторам конфигурации, но часто админист-
администраторы сами усложняют проблему, создавая хитроумные сценарии, в которых к тому
же комбинируются и сравниваются совершенно разные наборы команд.
Примеры управления исходящим доступом
В этом разделе предлагается несколько примеров списков исходящего доступа и их
приложения к интерфейсам. Список из примера 12.3 запрещает инициализацию сеан-
сеансов всем внутренним хостам.
оны внутренних узлов
Pixfirewall(config)toutbound I deny 0 0 0 0
Pixfirewall(config)tapply (inside) 1 outgoing src
Pixfirewall(config)#AZ
Pixfirewall*
Список из примера 12.4 запрещает все, исходящее от хоста 200.200.200.11, кроме
трафика Telnet и HTTP.
Пример 12.4. Разрешение только трафика Telnet и HTTP
для конкретного хоста
Pixfirewall(config)toutbound 2 deny 0 0 0 0
Pixfirewall(config)#outbound 2 except 200.200.200.11 255.255.255.255 23 tcp
Pixfirewall(config)#outbound 2 except 200.200.200.11 255.255.255.255 80 tcp
Pixfirewall(config)tapply (inside) 2 outgoing src
Pixfirewall(config)#Az
Pixfirewallit
Общий оператор deny часто указывают первым в списке (который сильно отлича-
отличается от списка доступа маршрутизатора), поскольку самыми подходящими считаются
более конкретные совпадения. Это напоминает выбор маршрута в маршрутизаторе.
Можно также применить несколько списков с целью упрощения логики сортировки.
Но не забывайте, что применение большого числа списков к одному интерфейсу за-
замедляет процесс обработки пакетов из-за увеличения шагов, которые должен выпол-
выполнить брандмауэр.
Глава 12. Использование дополнительных возможностей PIX Firewall 419

В примере 12.5 показан вариант применения множества списков к одному интерфейсу.
тт.
Pixfirewall(config)jfoutbound 3 deny 0 0 0 0
Pixfirewall(config)*outbound 3 except 200.200.200.0 255.255.255.0 23 tcp
Pixfirewall(config)jfoutbound 4 deny 0 0 0 0
Pixfirewall(config)#outbound 4 permit 10.1.1.21 255.255.255.255 0 0
Pixfirewall(config)* outbound 4 permit 10.1.1.22 255.255.255.255 0 0
Pixfirewall(config)|outbound 4 permit 10.1.1.64 255.255.255.192 0 0
Pixfirewall(config)toutbound 4 permit 0 0 21 tcp
Pixfirewall(config)tapply (inside) 3 outgoing src
Pixfirewall(config)tapply (inside) 4 outgoing src
Pixfirewall(config)*AZ
Pixfirewall*
Список З запрещает весь трафик, отличный от трафика Telnet из сети 200.200.200.0
класса С. Список 4 выдает разрешения конкретным хостам 10.1.1.21 и 10.1.1.22, а также
64 хостам с адресами 10.1.1.64—10.1.1.127. Кроме того, тот же список разрешает сеансы
FTP любому хосту. Оба списка применяются к одному интерфейсу и проверяются по
порядку при инициализации любого потока. И хотя для администратора такой подход
может казаться проще, для брандмауэра PIX Firewall он таковым не является.
Блокирование аплетов Java
и фильтрация URL
В любой компании использование служащими корпоративного доступа к Internet
(и потенциальное злоупотребление им) наряду с эффективностью использования ра-
рабочего времени являются важными производственными вопросами. Даже если слу-
служащие используют Internet эффективно, важным оказывается и то, с какими прило-
приложениями они входят в контакт. Каждой компании, связанной с Internet, приходится
защищать свои ресурсы либо от злоупотреблений, либо от вредоносных аплетов, ко-
которые могут быть активизированы на Web-странице по незнанию или невнимательно-
невнимательности. Механизмы фильтрации URL (Uniform Resource Locator —унифицированный
указатель информационного ресурса) и блокирование аплетов Java — вот две техно-
технологии, используемые для этого брандмауэром PIX Firewall.
В последние годы появилось множество сообщений о вредоносных приложениях
Java, которые могут быть нечаянно запущены пользователями при неправильной
конфигурации их броузеров. Java является очень мощным языком программирования.
Позволяя неконтролируемый запуск приложений, сетевые администраторы и менед-
менеджеры защиты непреднамеренно могут допустить разрушительные действия в сети.
Блокирование аплетов Java
Блокирование аплетов Java означает удаление аплетов Java, поступающих через
порт протокола HTTP. Брандмауэр PIX Firewall удаляет любой аплет, содержащий
сигнатуру Java в любой части сообщения. Это не касается аплетов, помещенных в ар-
420 Часть IV. Настройка CiscoSecure PIX Firewall

хивы (ZIP, LHA, ARJ и т.д.), но затрагивает полезные и безвредные файлы Java, так
что пользователи могут жаловаться на неполный прием страниц. В данном случае ли-
либо выполняется полное блокирование Java, либо блокирование отсутствует.
Чтобы фильтровать аплеты Java, следует создать список исходящего доступа и
применить его к интерфейсам, которые необходимо защитить. Тем самым запрещает-
запрещается инициирование всех аплетов Java защищенными интерфейсами.
Снова напомним, что для брандмауэра PIX Firewall значительно сложнее работать
при использовании множества списков, чем при одном списке ограничений outbound,
когда все продумано заранее и все необходимые ограничения включаются в один спи-
список. Тем не менее, в примере 12.6 добавляется еще один список доступа.
Pixfirewall(config)foutbound 5 deny 0 0 Java
Pixfirewall(config)fapply (inside) 1 outgoing src
Pixfirewall(config)rz
Pixfirewallit
Этот список запрещает выполнять аплеты Java во внутренней сети всем внутрен-
внутренним пользователям. Весь остальной трафик по умолчанию разрешен. Применение
списков доступа в брандмауэре отличается от их применения в маршрутизаторе — не
забывайте об этом при их настройке. Здесь имеется в виду, что чаще всего списки
доступа на маршрутизаторе применяются в направлении входящего трафика к соот-
соответствующему интерфейсу. Это особенно важно при смешанной технологии, когда
команды access-list и access-group поддерживаются новыми версиями программ-
программного обеспечения брандмауэра PIX Firewall.
Фильтрация URL
Для обеспечения дополнительной защиты, а также в целях более успешной реали-
реализации корпоративной политики защиты при использовании Web, можно заставить
брандмауэр PIX Firewall взаимодействовать со средствами фильтрации URL и систе-
системой аудита. Программа WebSENSE предлагает усовершенствованные средства управ-
управления доступом и фильтрации. Средства WebSENSE включают поддержку обширной
базы данных URL-адресов, упорядоченных по 29 категориям содержимого Internet.
Сетевые администраторы или менеджеры безопасности (обычно действующие в инте-
интересах политики защиты) могут определить, какие из этих категорий должны разре-
разрешаться или блокироваться в определенные периоды времени.
Замечание
Вы должны знать, что система WebSENSE не является бесплатной. Необходимо
оформить подписку на соответствующий сервис и купить программное обеспечение,
чтобы установить его в ячейке Windows NT вашей сети.
С настройкой WebSENSE связаны две команды: url-server и filter. Чтобы уста-
установить взаимодействие с менеджером содержимого (сервером URL), используется ко-
команда url-server, имеющая следующий синтаксис.
url-server [(имя интерфейса)] host покальи_1р [timeout секунды]
Глава 12. Использование дополнительных возможностей PIX Firewall 421

Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_иитерфейса Указывает интерфейс, на котором размещается сервер URL. Как и в большинстве дру-
других команд, имя интерфейса заключается в круглые скобки
локальи_1р Локальный IP-адрес (не NAT-адрес) машины на указанном интерфейсе
секунды Определяет предельное время ожидания в секундах
Тип используемой фильтрации URL указывается с помощью команды filter, ко-
которая имеет следующий синтаксис.
filter url {http | except} локальн_1р локальн_масха виеши_1р зиеши_маска [allow]
filter java порт[ -порт] локальи_1р маска виеши_1р маска
filter activex порт локальи_1р маска виеши_1р маска
Параметры команды описаны в следующей таблице.
Параметр команды Описание
url Определяет фильтрацию URL
порт Уточняет номер порта, который должен контролироваться средствами фильтрации.
Обычно это http, но можно указать и другие номера портов, если Web-сервер имеет
нестандартные настройки. Можно также управлять доступом к конкретным Web-
адресам, контролируя порт с помощью списка исходящего доступа
http Фильтрация URL-адресов HTTP (World Wide Web)
except Создает исключения из правил, ранее установленных командами filter permit или deny
локальи_1р Указывает локальный IP-адрес или сеть для фильтрации
локальн_ыаска Задает сетевую маску, связанную с локальи_1р
внеши_1р Указывает внешний IP-адрес или сеть для фильтрации
виеши_маска Определяет сетевую маску, связанную с вивши ip
allow Если сервер URL недоступен (превышен предел времени ожидания), это ключевое
слово разрешает движение трафика без проверки. При отсутствии этой команды, если
сервер URL станет недоступным, все запросы HTTP будут отвергаться
java Указывает фильтрацию аплетов Java
activex Указывает фильтрацию элементов управления ActiveX
Как видно из примера 12.7, команды, разрешающие брандмауэру PIX Firewall на-
начать фильтрацию URL, относительно просты.
Пример 12.7. Установка сервера фильтрации URL для всех исходящих
запросов Web
Pixfirewall(config)jfurl-server (dmz) host 192.168.1.42 timeout 10
Pixfirewall(config)tfilter uri http 0 0 0 0 allow
Pixf irewall (conf ig) Г2
Pixfirewall*
422 Часть IV. Настройка CiscoSecure PIX Firewall

Одним из приемов, которые применяются с командами фильтрования, является
кэширование запросов. Если доступ к www.cisco.com или www.ciscopress.com пытаются
получить много людей в течение небольшого времени, брандмауэру PIX Firewall не
требуется генерировать отдельные запросы и ответы для каждого сеанса HTTP.
Кроме того, можно установить кэш для URL-запросов и ответов с помощью ко-
команды url-cashe, имеющей следующий синтаксис.
url-cache {dst | src_dst} размер
Параметры команды описаны в следующей таблице.
Параметр команды Описание
dst Кэширование ответов на основе Web-узлов назначения
src_dst Кэширование ответов на основе Web-узлов назначения в зависимости от станции-
источника, выдавшей запрос
размер Указывает размер буфера памяти для кэширования запросов URL
Например, чтобы на основе параметров адресата установить для запросов фильтрации
URL кэш объемом 16 Кбайт, следует использовать команду, показанную в примере 12.8.
Pixfirewall(config)#url-cache dst 16
Pixfirewall(config)#"Z
PixfirewalH
Замечание
Использование команды url-cache заставляет брандмауэр PIX Firewall проверять со-
содержимое кэша перед выдачей запроса серверу URL Это не дает серверу URL реги-
регистрировать "хорошие" и "плохие" запросы Web. Вы должны хорошо представлять себе
последствия применения этой команды, собираясь добавить ее в конфигурацию, реа-
реализующую политику использования Internet в вашей сети.
Настройка контрольных записей
FTP и URL
Существуют дополнительные способы применения уже известных вам команд, по-
позволяющие управлять брандмауэром PIX Firewall и сетью, которую он защищает. Что-
Чтобы активизировать средства регистрации контрольных записей доступа URL и FTP,
можно использовать методы, о которых вы узнали из главы 11. В той главе были опи-
описаны возможности настройки сервера syslog и установки соответствующих параметров
брандмауэра PIX Firewall, позволяющих направлять контрольные сообщения этому
серверу. Брандмауэр PIX Firewall анализирует каждый пакет FTP и HTTP. Этот про-
процесс управляется командами f ixup, которые по умолчанию активизированы.
HTTP и FTP — это протоколы, которые не отвечают стандартам RFC, а потому
порождают проблемы при использовании NAT. Причиной является регистрация ими
Глава 12. Использование дополнительных возможностей PIX Firewall 423

специфической информации о машине (IP) на верхних уровнях модели OSI (Open
System Interconnection — взаимодействие открытых систем). Ввиду того, что средства
NAT работают только на уровне 3, некоторые данные могут оказаться несогласован-
несогласованными. Когда ваш броузер выполняет запрос, IP-адрес машины помещается на уро-
уровень 7 (прикладной) и уровень 3 (сетевой). Если сеть использует средства NAT, по-
последние изменяют только адрес на уровне 3. Поэтому на другом конце соединения
пакет HTTP будет иметь разные IP-адреса на указанных уровнях.
Команда f ixup protocol помогает преодолеть эти несоответствия для многих попу-
популярных протоколов. Синтаксис команды следующий:
fixup protocol тип номер порта
Параметры команды описаны в следующей таблице.
Параметр команды Описание
тип Указывает брандмауэр PIX Firewall тип протокола для исправления. Допустимыми
значениями являются http, ftp, h323, rsh, rtsp, smtp и sqlnet
ноыер_порта Определяет номер порта, который будет использоваться указанным протоколом.
Может потребоваться несколько операторов, если, например, в сети имеются Web-
серверы, использующие порты 80 (стандартный) и 8000
Некоторые команды, например те, которые показаны в примере 12.9, имеются в
конфигурации брандмауэра PIX Firewall по умолчанию.
Pixfirewall(config)ffixup protocol http 80
Pixfirewall(config)tfixup protocol ftp 21
Pixfirewall(config)f*Z
Pixfirewallf
Другие протоколы, в частности многие заказные, не вполне соответствующие
стандартам RFC, тоже могут порождать проблемы. Программисты Cisco могут доба-
добавить больше опций в команду коррекции протоколов, но соответствующие протоколы
должны быть широко используемыми. Они не станут вносить изменения в код из-за
частных протоколов пользователей.
Поскольку брандмауэр PIX Firewall уже обращается в пакетах к верхним уровням, ло-
логика создания контрольных записей для FTP и HTTP оказывается достаточно простой.
Любая URL-информация порождает сообщения syslog с уровнем серьезности 7
(сообщения отладки). Поэтому, чтобы зарегистрировать такие сообщения, достаточно
дать указание регистрировать сообщения соответствующего типа (с помощью преры-
прерываний syslog или буфера консоли).
Замечание
Указание уровня отладки для syslog в большой сети генерирует огромный объем ин-
информации. Я не отговариваю вас от применения контрольных сообщений этого типа,
но все же необходимо трезво подходить к необходимости их использования.
Некоторым компаниям требуется регистрировать сеансы исходящего доступа URL,
например, чтобы предоставлять соответствующую информацию другим отделениям,
424 Часть IV. Настройка CiscoSecure PIX Firewall

осуществлять мониторинг предпочтений пользователей или решать какие-то иные за-
задачи в рамках политики защиты.
Если в рамках вашей политики защиты необходима такая регистрация, не забывайте
о том, какие последствия она вызывает. Для создания каждого регистрируемого со-
сообщения брандмауэру PIX Firewall потребуется процессорное аремя, кроме того, па-
пакеты с сообщениями syslog будут отсылаться серверу syslog, ежедневное увеличение
объема текстового файла syslog будет огромным, а анализ накапливающихся файлов
syslog будет требовать все больше времени и усилий.
Если знать о последствиях, то воспользоваться указанными возможностями ничто не
мешает.
В дополнение к регистрации контрольных записей брандмауэром PIX Firewall
предлагается команда logging message. Можно включить конкретную информацию в
контрольные записи или отменить ее включение, если соответствующая информация
не требуется. Чтобы отключить использование специальных регистрационных сооб-
сообщений syslog, воспользуйтесь этой командой с префиксом по. Синтаксис команды
logging message следующий:
logging message syslog_id
Параметр команды представлен в следующей таблице.
Параметр команды Описание
syslog_id Идентификационный номер типа сообщения syslog, которое следует (или не следует)
обрабатывать. Эта команда обычно используется с префиксом по перед командой,
чтобы отключить конкретный тип сообщения
Различные номера syslog id соответствуют разным типам сообщений. Их список
предлагает Cisco Connection Online; соответствующий список можно также найти на
компакт-диске с документацией. Каждая версия программного обеспечения бранд-
брандмауэра PIX Firewall имеет свой раздел "Messages Listed by Severity Level" с описанием
сообщений syslog и соответствующих особенностей.
В следующих примерах, как и в реальных протоколах контрольных записей, сооб-
сообщения syslog отражают действия источника по отношению к адресату. В примере
12.10 показан вариант зарегистрированного сообщения URL. В этом примере
192.168.69.71 является машиной-источником, которая получает доступ к файлу
secrets.gif в системе машины-адресата 10.0.0.1.
ШХ-5-304001: 192.168.69.71 accessed URL 10.0.0.1/secrets.gif
В примере 12.11 показан вариант сообщения регистрации FTP. Источник 192.168.69.42
получил файл, а источник 192.168.42.54 сохранил файл.
ШХ-5-304001: 192.168.69.42 Retrieved 10.0.0.42:feathers.tar
ШХ-5-304001: 192.168.42.54 Stored 10.0.42.69:privacy.zip
Глава 12. Использование дополнительных возможностей PIX Firewall 425

Подробный список типов (syslog id) сообщений для самой последней версии
программного обеспечения брандмауэра PIX Firewall можно найти на компакт-диске
Cisco с документацией или на страницах Cisco Connection Online (CCO).
Настройка SNMP
Когда брандмауэр PIX Firewall работает в производственной среде и вы ис-
используете сообщения syslog для мониторинга его состояния, необходимо добавить
более совершенные средства контроля. Используя программное обеспечение сете-
сетевого управления, вы получаете возможность вести упреждающий мониторинг со-
состояния брандмауэра PIX Firewall (а также других сетевых устройств).
Протокол SNMP (Simple Network Management Protocol — простой протокол сете-
сетевого управления) дает возможность сетевому устройству участвовать в процессе сете-
сетевого управления. Каждое устройство может быть опрошено с целью получения ин-
информации (сообщения "get" — запросы), и каждое устройство может направить ин-
информацию станции управления (сообщения "trap" — прерывания), чтобы иметь
возможность вовремя регистрировать и решать возникающие проблемы.
Одни прерывания являются базовыми, а другие связаны с защитой. К базовым
прерываниям относятся следующие:
• интерфейс включен;
• интерфейс отключен;
• перезагрузка брандмауэра PIX Firewall ("холодный" старт).
К связанным с защитой прерываниям относятся следующие:
• запрет глобального доступа;
• сообщения syslog об исправлении ошибок;
• любые другие сообщения syslog.
Программы SNMP используют файлы MIB (Management Information Base — база
управляющей информации) для доступа к сообщениям и параметрам каждого сетевого
устройства. С помощью файлов MIB программы SNMP получают информацию о том,
что означают сообщения каждого из устройств и какие возможности сетевого управ-
управления для него доступны.
Можно использовать семейство продуктов CiscoWorks или любую другую програм-
программу, совместимую с требованиями SNMP VI MIB-II, чтобы получать прерывания и
просматривать файлы MIB. Внутренние прерывания SNMP связаны с UDP-портом
162; эта информация понадобится вам при создании каналов доступа к сетевым стан-
станциям управления.
Для активизации основных возможностей доступа достаточно ввести всего не-
несколько команд SNMP.
Чтобы начать настройку SNMP, необходимо использовать команду snmp-server,
имеющую следующий синтаксис,
snmp-server {community ключ | contact текст | location текст)
Параметры команды описаны в следующей таблице.
426 Часть IV. Настройка CiscoSecure PIX Firewall

Параметр команды Описание
community ключ Определяет групповое имя SNMP. Если вы работаете с SNMP в Internet или на любом
другом незащищенном интерфейсе, избегайте "открытых" и "частных" групповых имен.
Выберите нечто соответствующее смыслу и трудное для угадывания, чтобы не допус-
допустить несанкционированный мониторинг и модификацию
contact текст Обеспечивает базовую информацию для контакта с администратором, управляющим
устройством
location текст Обеспечивает базовую информацию о размещении устройства. В больших сетях мо-
может упростить"поиск"устройства
Обратите внимание на то, что при настройке групповых строк snmp-server не
предлагается выбирать переменные только для чтения (RO) или для чтения и записи
(RW). Брандмауэр PIX Firewall, который, как предполагается, должен быть макси-
максимально защищен, не поддерживает возможности чтения и записи для сетевого управ-
управления. Он трактует все групповые переменные как доступные только для чтения.
Команда snmp-server hoet указывает хост, которому направляется информация
прерываний, и эта команда имеет следующий синтаксис:
snmp-server host [имя интерфейса] локапьи ip
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_иитерфейса Имя интерфейса, на котором размещается станция управления SNMP, которой должна
направляться информация прерываний. Соответствующее значение не должно поме-
помещаться в круглые скобки
локальи_1р Локальный (нетранслированный) IP-адрес станции управления, связанной с соответст-
соответствующим интерфейсом
Чтобы разрешить применение прерываний, посылаемых рабочей станции управле-
управления, используется команда snmp-server enable table. Она включает или отключает
отправку прерывания SNMP посредством syslog.
В примере 12.12 показано, как объединить ряд таких команд для настройки SNMP
в брандмауэре PIX Firewall. Соответствующие команды информируют программное
обеспечение сетевого управления о том, что конкретный брандмауэр PIX Firewall чем-
то отличается от "простого" брандмауэра PIX Firewall.
Pixfirewall(config)fsnmp-server location 1212 First Street South, Room 12A
Pixfirewall(config)Isnmp-server contact Bob Jones (800M55-1212 ext 4893
Pixfirewall(config) I snmp-server community super secure
Pixfirewall(config) I snmp-server host 10.2.6.5
Pixfirewall(config) f snmp-server enable traps
Pixf irewall (conf ig) jf * Z
Pixfirewallf
Глава 12. Использование дополнительных возможностей PIX Firewall 427

Настройка средств обработки
отказов брандмауэра PIX Firewall
Средства обработки отказов позволяют иметь в сети два отдельных брандмауэра
PIX Firewall, чтобы обеспечить избыточность инфраструктуры защиты. В случае отка-
отказа одного элемента задачу выполнит другой элемент. Это очень напоминает возобнов-
возобновление выполнения команд маршрутизатора в рамках протокола HSRP (Hot Standby
Router Protocol — резервный протокол маршрутизации).
Брандмауэр PIX Firewall может выполнить два типа обработки отказов: базовый и
полномасштабный. Во всех версиях программного обеспечения брандмауэра PIX
Firewall можно осуществлять мониторинг базовой обработки отказов. В таком случае
используется специальный кабель последовательной связи между двумя объектами
PIX Firewall (активным и резервным) для передачи базовой информации (например,
адресов IP и MAC активного элемента). Кроме того, каждые 15 секунд каждый объект
посылает пакеты hello (приветствие) по каждому интерфейсу, чтобы связаться с дру-
другим брандмауэром PIX Firewall. Это значит, что соответствующие пакеты проходят по
специальному последовательному кабелю и каждому интерфейсу локальной сети.
Базовая обработка отказов
Код обработчика отказов брандмауэра PIX Firewall осуществляет мониторинг всех со-
сообщений об отказах, состояния питания удаленных объектов и всех пакетов hello, полу-
получаемых интерфейсами. Если на протяжении определенного времени, заданного для связи
обработки отказов, оказываются пропущенными два последовательных пакета hello, код
обработчика отказов начинает проверку интерфейсов, чтобы выяснить, какой объект вы-
вызвал отказ и где он расположен, и передать управление резервному объекту.
Когда требуется обработка отказа, новый активный элемент (ранее резервный) по-
получает все IP- и МАС-адреса элемента, который ранее был активным. Это упрощает
работу интерфейсам локальной сети, поскольку у маршрутизаторов и хостов не воз-
возникает необходимости реформировать ARP (Address Resolution Protocol — протокол
разрешения адресов), чтобы открывать новый шлюз.
Кабель обработки отказов является специальным кабелем, который приобретается
отдельно. Этот кабель имеет первичный и вторичный разъемы (во многом напоминая
DCE/DTE). Убедитесь в том, что кабель соединен с брандмауэрами PIX Firewall
(активным и резервным) соответствующими концами, поскольку это важно для на-
начальной конфигурации обработчика отказов.
Полномасштабная обработка отказов
Начиная с версии 5.0, программное обеспечение брандмауэра PIX Firewall предлагает
параметр statefiil failover (полномасштабная обработка отказов). Если полномасштабная об-
обработка отказов активизирована, отслеживаются состояния всех соединений между двумя
элементами, поэтому перерывы в предоставлении сервисов сводятся к минимуму. Если
этот параметр не активизирован, при отказе все активные соединения обрываются и сис-
системам-клиентам приходится создавать соединения и трансляции вновь.
Чтобы обработать огромный объем информации, необходимой для учета состояний
всех трансляций и соединений между активным и резервным брандмауэрами PIX
428 Часть IV. Настройка CiscoSecure PIX Firewall

Firewall, необходим выделенный интерфейс Ethernet. Объем передаваемой в этом слу-
случае информации существенно превышает возможности последовательного кабеля для
обработки отказов.
Выделенный интерфейс должен иметь скорость 100 Мбит/сек и использовать
только Ethernet. Интерфейс может соединяться
• соединительным кабелем типа CAT 5 непосредственно между элементами;
• через концентратор 100BaseTX с полудуплексной связью;
• через коммутатор 100BaseTX с полнодуплексной связью или порты VLAN
(Virtual Local-Area Network — виртуальная локальная сеть).
Замечание
Хотя брандмауэр PIX Firewall и предлагает поддержку самых разных типов сетевой
среды, он не поддерживает Token Ring и FDDI для выделенного интерфейса полно-
полномасштабной обработки отказов. Кроме того, на интерфейсах полномасштабной обра-
обработки отказов не должно быть других хостов и устройств.
Если вы имеете брандмауэр PIX 515, получите лицензию PIX-515-UR, которая по-
позволит добавить опцию обработки отказов. Приобретите также опцию обработки от-
отказов, допускающую использование вторичного элемента. Если же вы имеете бранд-
брандмауэр PIX 520 или более совершенную модель, приобретите второй элемент с лицен-
лицензией, аналогичной лицензии первого. Политика ценообразования Cisco позволяет
большие скидки на второй элемент в отношении обработки отказов, поскольку один
из элементов остается в значительной степени незадействованным.
Во время начальной загрузки брандмауэр PIX Firewall по умолчанию использует
команду no active failover. Если кабель отсутствует, брандмауэр PIX Firewall авто-
автоматически считается активным элементом. Если кабель присутствует, то по умолча-
умолчанию активным назначается брандмауэр PIX Firewall, к которому присоединен пер-
первичный разъем кабеля обработки отказов.
Кабель обработки отказов во многом подобен последовательному кабелю с разъемами
DTE (Data Terminal Equipment — терминал, терминальное оборудование) и DCE (Data
Communications Equipment — телекоммуникационное оборудование), которые различаются
формой контактов. Один конец должен быть присоединен к первичному (активному по
умолчанию) брандмауэру PIX Firewall, а другой — к вторичному (резервному).
Процесс обработки отказов
Обработка отказов вообще и полномасштабная обработка отказов в частности тре-
требует уяснения целого ряда вопросов. Активизацию обработчика отказов вызывают
следующие события:
• выключение или сбой питания активного брандмауэра PIX Firewall;
• перезагрузка активного брандмауэра PIX Firewall;
• отключение интерфейса активного брандмауэра PIX Firewall более чем на 30 секунд;
• выполнение команды failover active на резервном брандмауэре PIX Firewall;
• ошибки из-за нехватки памяти на активном брандмауэре PIX Firewall, длитель-
длительность которых превышает 15 секунд.
Глава 12. Использование дополнительных возможностей PIX Firewall 429

В процессе полномасштабной обработки отказов активизированному брандмауэру
PIX Firewall предоставляется следующая информация (не забывайте о том, что обыч-
обычная обработка отказов переустанавливает все соединения и таблицы):
• конфигурация брандмауэра PIX Firewall (включая IP- и МАС-адреса);
• таблица TCP-соединений и значения пределов времени (за исключением
HTTP-соединений);
• таблица трансляции NAT (xlate);
• показания системного времени (что оказывается полезным для поддержки про-
протоколов контрольных записей).
Следующая информация не синхронизируется даже при полномасштабной обра-
обработке отказов.
• таблица аутентификации пользователей (uauth);
• таблица HTTP-соединений;
• таблицы ISAKMP и ассоциаций защиты IPSec;
• таблица ARP;
• уже известная информация маршрутизации.
Настройка параметров обработки отказов
Чтобы настроить средства обработки отказов после того, как решены вопросы ли-
лицензирования и подключения соответствующего кабеля, необходимо использовать
команду failover, имеющую следующий синтаксис.
failover ip address имя интерфейса ip адрес
failover timeout чч:ш:сс
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя_иитерфейса Имя интерфейса брандмауэра PIX Firewall, определенное командой nameif
ip_anpec IP-адрес другого брандмауэра PIX Firewall, каким он представляется указанному ин-
интерфейсу. Используется для полномасштабной обработки отказов и соответствует
IP-адресу соответствующего устройства на выделенном интерфейсе Ethernet. Подобно
HSRP в маршрутизаторе, необходимо знать, по какому IP-адресу следует посылать
пакеты hello и информацию о состоянии
чч Время в часах
мм Время в минутах
ее Время в секундах
Эти команды определяют интерфейс, который следует контролировать, и IP-адрес
другого брандмауэра PIX Firewall. He забывайте о том, что при обработке отказов ре-
резервный брандмауэр PIX Firewall получает IP- и МАС-адреса активного брандмауэра
PIX Firewall.
Чтобы указать интерфейс для коммуникаций, используется команда failover link,
имеющая следующий синтаксис,
failover link имя_иитерфейса
430 Часть IV. Настройка CiscoSecure PIX Firewall

Параметр команды представлен в следующей таблице.
Параметр команды Описание
иш_иитерфейса Имя интерфейса, используемого для сообщений обработки отказов. Определяется
командой nameif
Если выполняется настройка полномасштабной обработки отказов, эта команда
описывает интерфейс Fast Ethernet.
Можете управлять состояниями активного и резервного маршрутизаторов и вруч-
вручную. Команда failover reset возвращает брандмауэры PIX Firewall к исполнению
первичной и вторичной ролей (помните о том, что концы кабеля обработки отказов
различаются по виду разъемов). Выполнение данной команды предполагается после
того, как администратор выяснит, какая проблема вызвала обработку отказа. Команда
failover active заставляет брандмауэр PIX Firewall инициализировать обработку от-
отказов. Она может использоваться для тестирования сети.
Как активные, так и резервные устройства должны иметь одну и ту же версию про-
программного обеспечения брандмауэра PIX Firewall, чтобы они работали правильно. Не
забывайте об этом при модернизации программного обеспечения вашего брандмауэра.
Кроме того, в обоих устройствах должны быть установлены одинаковые интерфейсы в
аналогичных разъемах, и модели PIX Firewall должны быть аналогичны. Чтобы обновить
конфигурационную информацию в резервном брандмауэре PIX Firewall, можно выпол-
выполнить команду write standby на активном брандмауэре PIX Firewall. Команда write
standby передает всю конфигурационную информацию резервному брандмауэру PIX
Firewall. При ее использовании помните о том, что кабель обработки отказов является
последовательным, так что чем больше по объему файл конфигурации, тем больше вре-
времени потребуется для его передачи. Чтобы записать конфигурацию в активный бранд-
брандмауэр PIX Firewall, потребуется выполнить команду write memory.
Настройка возможностей VPN
Брандмауэр PIX Firewall поддерживает ряд различных методов создания сетей VPN
(Virtual Private Network — виртуальная частная сеть). Некоторые из этих методов ап-
аппаратные, другие же — программные. Более старые версии брандмауэра PIX Firewall
(а также некоторые современные) поддерживают только аппаратные средства шифро-
шифрования, что означает необходимость приобретения платы PIX Firewall Private Link, вы-
выполняющей такое шифрование. Более новые версии брандмауэра PIX Firewall осуще-
осуществляют программную поддержку туннелей IPSec. Можно также реализовать политику
защиты, в рамках которой поддерживается технология Microsoft туннелей РРТР
(Point-to-Point Tunneling Protocol — протокол сквозного туннелирования).
Чаще всего сети VPN создаются для поддержки связи между узлами (между двумя
брандмауэрами PIX Firewall или между маршрутизатором и брандмауэром), а также между
сетью и конкретной машиной клиента (например, мобильным компьютером), как в случае
использования технологии РРТР. Брандмауэры PIX Firewall, хотя и отличаются хорошей
устойчивостью, все же не предназначены для поддержки большого числа туннелей VPN.
С этой задачей значительно лучше справляются серии VPN 3000 (пакет Altiga) и
VPN 5000 (пакет Compatible Systems). Кроме того, маршрутизатор Cisco 7206 имеет
специальный модуль ISM (Integrated Services Module — интегрированный модуль сер-
Глава 12. Использование дополнительных возможностей PIX Firewall 431

виса) в виде платы расширения, предназначенный для поддержки большого числа
туннелей РРТР или IPSec (до 2000 туннелей на каждую такую плату). Таким образом,
как и в случае любой связанной с сетями проблемы, выбирают соответственное осна-
оснащение; лучше выбрать подходящее оборудование, выполняющее необходимую работу
хорошо, чем пытаться заставить одно устройство решать множество задач как-нибудь.
Шифрование Private Link
Private Link является традиционной системой шифрования на базе аппаратных
средств для связи между двумя брандмауэрами PIX Firewall, проходящей через обще-
общедоступную открытую инфраструктуру. Эта система является частной технологией,
поддерживающей туннели VPN только между брандмауэрами PIX Firewall. Этот тип
шифрования не поддерживается в брандмауэрах PIX Firewall начиная с версии 5.0.
Программное обеспечение брандмауэра PIX Firewall версии 4.x поддерживает соответ-
соответствующую плату и связи, если сеть этого требует.
Следует подчеркнуть, что следующие команды применимы только с картами PIX Pri-
Private Link и программным обеспечением брандмауэра PIX Firewall до версии 5.0. Начиная с
версии 5.0 структура команд была изменена с целью поддержки туннелей IPSec
(являющихся сегодня стандартом индустрии), которые будут обсуждаться в главе 16.
Возможности Private Link позволяют входящим пакетам Private Link обойти средст-
средства NAT и ASA (Adaptive Security Algorithm) и пройти к внутреннему интерфейсу. Для
создания частного сетевого соединения применяется команда link. Чтобы задать ос-
основные параметры удаленной стороны, включая значения секретных ключей, исполь-
используется следующая форма этой команды.
link {interface} 1р_удалев_сторовы 1<1_ключа текст_ключа
link 1р_удалев_сторовы md5
Параметры команды описаны в следующей таблице.
Параметр команды Описание
интерфейс Интерфейс локального брандмауэра PIX Firewall, в котором заканчивается туннель, на-
например (inside)
1р_удален_стороиы IP-адрес удаленного брандмауэра PIX Firewall
id_KnnLa Идентификатор ключа (последовательный номер)
текст_ключа Значение данного ключа (текст пароля)
Чтобы задать информацию Private Link для диапазона удаленных сетей, использу-
используется команда linkpath, которая имеет следующий синтаксис.
linkpath 1р_удалев_сетя удален_маска 1р_удалев_сторовы
Параметры команды описаны в следующей таблице.
Параметр команды Описание
1р_удален_сетв Сетевой IP-адрес удаленной сети
удален_маска Сетевая маска для указанного IP-адреса удаленной сети
1р_удапен_стороаы IP-адрес удаленного брандмауэра PIX Firewall
432 Часть IV. Настройка CiscoSecure PIX Firewall

Чтобы описать длительность периода активности туннельных связей, используется
команда age, имеющая следующий синтаксис.
age минуты
Параметр команды представлен в следующей таблице.
Параметр команды Описание
минуты
Указывает время в минутах, в течение которого туннель может оставаться активным
для одного значения ключа
Команда linkpath аналогична команде ip route при установке множества туннелей
и отправке трафика в нужном направлении. На рис. 12.1 показана топология сети, со-
соответствующая примеру 12.13.
(Внутренний) 10.1.1.1
(Внешний) 172.16.32.1
(Внутренний) 10.1.1.1
(Внешний) 172.16.32.1
Внешняя
сеть
10.1.0.0 Сеть А
10.3.0.0 Сеть В
Рис. 12.1. Сеть с использованием Private Link
В брандмауэре А конфигурация Private Link может выглядеть так, как показано в
примере 12.13.
¦¦I'
Пример 12.13.Вариант конфигурации Private Unk .'..,, „q. ¦':
Pixfirewall(config)*link 172.16.35.1 1 аааааааааа
Pixfirewall(config)»link 172.16.35.1 2 bbbbbbbbbb
Pixfirewall(config)*link 172.16.35.1 3 cccccccccc
Pixfirewall(config)Uink 172.16.35.1 4 dddddddddd
Pixfirewall(config)*link 172.16.35.1 5 eeeeeeeeee
Pixfirewall(config)jflinkpath 10.3.0.0 255.255.255.0 172.16.35.1
Pixf irewall(config)*"Z
Pixfirewall*
В брандмауэре В конфигурация Private Link может выглядеть так, как показано в
примере 12.14.
В результате весь трафик, движущийся от 10.1.0.0/24 к 10.3.0.0/24 и в обратном
направлении, будет шифроваться средствами Private Link.
Глава 12. Использование дополнительных возможностей PIX Firewall 433

I Пример 12.14.' Вариант конфигурации Prlvafe Link tia удаленном конце "' Л
t .. . ... J. -U-^JL. .- -_. 4^.. .'_j;J.^ -¦ « .¦¦'¦!¦ I- ¦¦¦¦ - ''!* . ¦¦¦>'»- ¦¦¦i"!J^v..'<t-.->!;i ...rt ¦ . . ;.. VJil
Pixfirewall(config)*link 172.16.32.1 1 aaaaaaaaaa
Pixfirewall(config)tlink 172.16.32.1 2 bbbbbbbbbb
Pixfirewall(config)flink 172.16.32.1 3 cccccccccc
Pixfirewall(config)Uink 172.16.32.1 4 dddddddddd
Pixfirewall(config)*link 172.16.32.1 5 eeeeeeeeee
Pixfirewall(config)tlinkpath 10.1.0.0 255.255.255.0 172.16.32.1
Pixfirewall (conf ig) jfЛ Z
Pixfirewallt
Обратите внимание на то, что операторы link задают множество общих для сторон
ключей, с помощью которых устанавливаются туннели. Это обеспечивает ротацию клю-
ключей. Дополнительная информация об общих ключах и шифровании содержится в главе 16.
Если добавить команды, представленные в примере 12.15, то алгоритмом шифро-
шифрования должен стать алгоритм MD5 (Message Digest 5).
Пример 12.15. Изменение шифрования ключа на хэширование MD5
Firewall A: link 172.16.35.1 md5
Firewall В: link 172.16.32.1 md5
Обе стороны должны согласованно изменять подобные стандарты. Иначе одна из
сторон будет говорить на языке, который не сможет понять другая.
Настройка поддержки РРТР
Многие компании, поддерживающие большие сети Windows NT, используют про-
протокол РРТР (Point-to-Point Tunneling Protocol — протокол сквозного туннелирования)
фирмы Microsoft. Особенность этой технологии заключается в том, что РРТР исполь-
использует схему шифрования, вводимую клиентом.
Поскольку РРТР инициируется клиентом, соответствующая связь называется
"спонтанным" туннелем. Поставщик сервиса связи между мобильной системой поль-
пользователя и базовой сетью не должен быть осведомлен об установке такого туннеля.
Ввиду того, что РРТР является шифрованием, основанным на программных средствах,
возникают вопросы производительности, особенно при использовании большого числа
VPN-связей. Поддержка РРТР требует установки соответствующего программного обеспе-
обеспечения в системе клиента (обычно это мобильный компьютер пользователя). Для мини-
минимальной поддержки РРТР и других соответствующих возможностей наиболее предпочти-
предпочтительной является система Windows Dial-Up Networking (DUN) версии 1.3.
К возможностям, о которых идет речь, относятся МРРЕ (Microsoft Point-to-Point
Encryption — канальное шифрование Microsoft) и МРРС (Microsoft Point-to-Point
Compression — канальное сжатие Microsoft) для пересылаемых пакетов. Эти опции
выбираются с помощью отметки соответствующих флажков в окнах, изображения ко-
которых показаны на рис. 12.2.
Клиент инициирует создание туннелей к серверу, называемому сетевым сервером
РРТР или "собственным шлюзом". В последних версиях IOS некоторые маршрутизаторы
получили возможность поддерживать сеансы РРТР самостоятельно. Ранее единственным
объектом, имеющим возможность поддержки сеансов РРТР, была система Microsoft
434 Часть IV. Настройка CiscoSecure PIX Firewall

Windows NT Server со средствами RAS (Remote Access Service — сервис удаленного досту-
доступа). Начиная с версии 5.1 программное обеспечение брандмауэра PIX Firewall поддержива-
поддерживает входящие сеансы РРТР от устройств под управлением Microsoft Windows.
Рис. 12.2. Окна настройки Microsoft Dial-Up Networking
Технология РРТР является только конечным решением; это значит, что брандмау-
брандмауэр PIX Firewall непосредственно не поддерживает установку туннелей РРТР. Он под-
поддерживает использование прокладываемых туннелей РРТР только в той мере, на-
насколько это позволено политикой защиты.
Чтобы изменить политику защиты и позволить прохождение туннелей РРТР, требуется
изменить некоторые параметры конфигурации. Сначала конечное устройство, в котором
должны заканчиваться туннели РРТР, следует настроить для статической трансляции. Это
имеет смысл только с точки зрения перспективы загрузки. Каждому клиенту необходимо
знать конечный адрес, чтобы правильно настроить свою мобильную систему.
После установки статической трансляции в конфигурацию следует добавить ко-
команды conduit, как показано в примере 12.16.
conduit permit tcp глобальв_1р глобальв_тска eq 1723 ваеша_1р внешн маска
conduit permit gre глобальв_1р глобальв_шска ввешв_1р ввешв_маска
Обработку пакетов поддержки туннеля осуществляет ТСР-порт 1723. Остальные
пакеты являются пакетами GRE (Generic Route Encapsulation — общая инкапсуляция
для маршрутизации), т.е. непосредственно пакетами, передаваемыми по туннелю.
Те же параметры необходимы и для более новых технологий, например для L2F (Layer
2 Forwarding — продвижение данных на канальном уровне) и L2TP (Layer 2 Tunneling
Protocol — протокол туннелирования канального уровня). Технологии различны, но их
поддержка брандмауэром РГХ Firewall и соответствующие требования одинаковы.
Более новые технологии используют поддержку IPSec клиентом и допускают за-
завершение туннеля в брандмауэре PIX Firewall. Эти технологии будут обсуждаться под-
подробнее в данной книге позже.
Следующие действия позволяют туннелям РРТР пройти через брандмауэр РГХ Firewall.
Глава 12. Использование дополнительных возможностей PIX Firewall 435

1. Для устройства, являющегося конечным для туннеля (NT Server или другое уст-
устройство), должен быть определен соответствующий статический оператор NAT,
указывающий подходящий глобальный адрес.
2. Для управления туннелем (ТСР-порт 1723) должен быть открыт канал к устройст-
устройству на внешнем конце туннеля.
3. Для самого туннеля тоже необходимо открыть канал (протокол GRE) к устройст-
устройству, в котором туннель заканчивается.
Начиная с версии 5.1 брандмауэр РГХ Firewall сам может выступать в роли устройства
завершения туннелей РРТР. Используя глобальный адрес интерфейса брандмауэра РГХ
Firewall для настройки устройств Microsoft Windows, можно заставить брандмауэр РГХ
Firewall выполнять аутентификацию и устанавливать границу туннелей РРТР.
Менеджер политики CiscoSecure
Менеджер CSPM (CiscoSecure Policy Manager — менеджер политики защиты) по-
позволяет централизованно управлять политикой защиты до 500 устройств Cisco. Ме-
Менеджер CSPM работает с брандмауэром PIX Firewall и другими устройствами Cisco
IOS, в частности с теми, которые настраиваются в рамках возможностей IOS Firewall.
CSPM позволяет определять политику защиты без обращения к интерфейсам команд-
командной строки устройств, используя интуитивно понятный шаблон и интерфейс блок-схем.
На основе используемой политики автоматически создается соответствующий код команд-
командной строки и распределяются требования политики защиты, реализующие наивысшую
степень защиты и наиболее широкие возможности VPN сетевых устройств.
Менеджер CSPM существенно упрощает процесс централизованного управления
сетями VPN и системой защиты предприятия в целом. Он расширяет возможности
контроля за пределы обычного управления вручную, но предлагает меньшие возмож-
возможности, чем система сетевого управления Cisco Works. CSPM включает возможности
сетевого мониторинга и составления отчетов для изучения сетевой активности, а так-
также систему предупреждений о вероятных нарушениях защиты сети.
Демонстрационную версию менеджера CSPM можно загрузить с Web-узла ССО.
Эта версия поддерживает управление только одним сетевым устройством. Для управ-
управления дополнительными устройствами требуется покупка соответствующей лицензии.
Сопровождение брандмауэра
PIX Firewall
Даже когда политика защиты определена, а конфигурация проверена и работает,
оказываются решенными не все задачи брандмауэра PIX Firewall. Необходимо еще
осуществлять текущее сопровождение брандмауэра PIX Firewall из-за ежедневно ме-
меняющихся условий окружения. Двумя важными компонентами сопровождения явля-
являются восстановление паролей и обновление программного обеспечения.
Восстановление паролей брандмауэра PIX Firewall
Вполне возможно, что вам никогда не понадобится знать, как восстанавливается
пароль. Но по мере роста и слияния компаний, а также в результате смены персонала
отдела информационных систем возникает риск утраты пароля enable брандмауэра
PIX Firewall, что делает режим enable недоступным.
436 Часть IV. Настройка CiscoSecure PIX Firewall

Процедура восстановления пароля брандмауэра PIX Firewall отличается от анало-
аналогичной процедуры маршрутизатора Cisco. Описания всех стандартных методов восста-
восстановления пароля для различных маршрутизаторов и коммутаторов Cisco могут быть
найдены в документации на Web-узле Cisco, и необходим только физический доступ к
объекту, чтобы эти процедуры выполнить. Для восстановления пароля брандмауэра
PIX Firewall требуется иметь образ специального программного обеспечения (см. сле-
следующий раздел, где представлена более конкретная информация относительно обра-
образов программного обеспечения), чтобы можно было восстановить систему после утра-
утраты пароля enable брандмауэра PIX Firewall. Чтобы получить такой образ и установить
его, необходимо выполнить следующее.
1. Обратитесь к странице программного обеспечения (Software Center) на Web-узле
Cisco. В разделе CiscoSecure PIX Firewall Software найдите образ pixxxxbin, где xtx
представляет номер версии программного обеспечения, которое выполняется на
брандмауэре PIX Firewall.
2. Если вы не знаете номер текущей версии программного обеспечения, просто вве-
введите команду show version в строке приглашения брандмауэра PIX Firewall. Воз-
Возвращенная в результате информация будет содержать среди прочего и номер вер-
версии образа программного обеспечения. Команда show version может быть выпол-
выполнена на любом уровне привилегий.
3. Загрузите из сети образ восстановления пароля и поместите его на диск, исполь-
используя утилиту RAWRITE.EXE.
4. Выключите брандмауэр PIX Firewall, вставьте только что созданный диск в
брандмауэр PIX Firewall и загрузите брандмауэр снова.
5. Восстановите пароль, следуя инструкциям, появляющимся на экране монитора.
Конкретные шаги зависят от образа программного обеспечения, поэтому здесь
они не представлены.
Замечание
Брандмауэр PIX Firewall 515 не имеет дисковода для дискет. Вы должны скопировать
образ программы восстановления пароля в флэш-память брандмауэра PIX Firewall,
используя TFTP, в соответствии с процедурой обновления программного обеспечения
брандмауэра PIX Firewall, описанной в следующем разделе.
Обновление программного обеспечения PIX Firewall
Обновление программного обеспечения брандмауэра PIX Firewall является относитель-
относительно простым делом. Брандмауэр выполняет множество важных задач в сети, поэтому его
операционная система должна оставаться современной. Кроме того, компания Cisco Sys-
Systems постоянно совершенствует программное обеспечение брандмауэра, поэтому у вас обя-
обязательно возникнет желание использовать самые новые возможности.
При модернизации программного обеспечения брандмауэра PIX Firewall может
потребоваться выполнение самых разных шагов, в зависимости от аппаратной плат-
платформы и версии программного обеспечения, которую вы планируете использовать.
Существует два основных метода обновления образов программного обеспечения
брандмауэра PIX Firewall:
• создание с помощью дисковода для дискет загрузочного диска, содержащего
образ для брандмауэра PIX Firewall, и последующая загрузка брандмауэра PIX
Firewall с этим диском;
Глава 12. Использование дополнительных возможностей PIX Firewall 437

• копирование файла с образом программного обеспечения брандмауэра PIX
Firewall в флэш-память брандмауэра PIX Firewall с помощью TFTP.
Перед тем как приступить к обновлению образа программного обеспечения брандмау-
брандмауэра PIX Firewall, введите команду show version и запишите ключ активизации.
Обновление образов программного обеспечения брандмауэра
PIX Firewall с помощью дисков
Ниже представлены основные шаги, выполняемые при обновлении образа бранд-
брандмауэра PIX Firewall с помощью дисков. Вы должны согласовать выполняемые дейст-
действия в соответствии с конкретными требованиями вашей сети.
1. Независимо от платформы, первым шагом является загрузка (из Internet) необходи-
необходимой версии программного обеспечения брандмауэра PIX Firewall. Оно доступно через
Software Center CCO. Вам потребуется имя доступа и пароль (обычно входящие в па-
пакет поддержки), чтобы получить доступ к соответствующим файлам.
Замечание
Именами зафужаемых файлов образов будут PIXxxx.BIN или BHxxx.BIN, в зависимости от
редакции, где ххх указывает номер версии. Например, PIX403.BIN указывает на версию
4.03 профаммного обеспечения брандмауэра PIX Firewall. Для версии 5.03 профаммного
обеспечения брандмауэра PIX Firewall потребуются и PIX503.BIN, и BH503.BIN.
2. Затем необходимо создать новый загрузочный диск для брандмауэра PIX Firewall
(версии 10000, 510 и 520). Для этого потребуется пустая форматированная дискета
(объемом 1.44 Мбайт, двусторонняя, с высокой плотностью записи) и программа
RAWRITE.EXE, которая также доступна на Web-узле ССО. Программа RAWRITE
является программой воссоздания образов на уровне секторов, в результате чего
независимо от операционной системы формируется полностью работоспособный
гибкий диск.
3. С командной строки DOS или UNIX выполните RAWRITE из каталога, в который
были загружены файлы образов. В результате появится запрос указать имя дисковода
(обычно А для дисковода А:) и имя образа (соответствующее тому, что было загруже-
загружено). Система отформатирует диск для операционной системы PIX Firewall, создаст
загрузочный диск и скопирует на него образ профаммного обеспечения.
Для старых версий программного обеспечения PIX Firewall (версии 5.0 и более
ранних) требовалось загрузить и поместить на дискету только один файл образа.
Для более новых версий программного обеспечения брандмауэра PIX Firewall ос-
основной образ не помещается на одну дискету, поскольку его объем оказывается
больше 1.44 Мбайт. Чтобы скопировать более новые образы в флэш-память
брандмауэра PIX Firewall, требуется образ BootHelper. Это "облегченная" версия
операционной системы, поддерживающая TFTP и позволяющая ввести основную
конфигурационную информацию вручную. В результате образ разделяется на
сегменты, помещаемые на два диска.
4. Вставьте загрузочный диск в дисковод брандмауэра PIX Firewall. Выполните переза-
перезагрузку брандмауэра. В результате новый образ профаммного обеспечения будет за-
фужен в память (и скопирован в NVRAM/Flash для дальнейшего использования), а
конфигурация будет подготовлена для внесения изменений с командной строки.
438 Часть IV. Настройка CiscoSecure PIX Firewall

Обновление образов программного обеспечения брандмауэра
PIX Firewall с помощью TFTP
Ниже представлены основные шаги, выполняемые при обновлении образа бранд-
брандмауэра PIX Firewall с помощью TFTP. Эта процедура выполняется, например, при
обновлении программного обеспечения PIX Firewall модели 515. Вы должны согласо-
согласовать выполняемые действия в соответствии с конкретными требованиями вашей сети.
1. Независимо от платформы, первым шагом является загрузка (из Internet) необхо-
необходимой версии программного обеспечения брандмауэра PIX Firewall, как объясня-
объяснялось в пп. 1 и 2 предыдущего раздела.
2. Затем необходимо убедиться в том, что брандмауэр PIX Firewall может соеди-
соединиться с сервером TFTP. Проверьте, что образы программного обеспечения ско-
скопированы на сервер TFTP.
3. Для брандмауэров PIX Firewall версии 5.0 и более ранних версий следует перезагру-
перезагрузить брандмауэр и перейти в режим мониторинга, нажав клавишу <Esc> или <Вгеак>
до завершения процесса начальной загрузки. Укажите интерфейс, который вы будете
использовать для соединения с сервером TFTP (обычно это внутренний интерфейс с
номером 0), IP-адрес интерфейса, IP-адрес сервера TFTP и имя образа программного
обеспечения. Можно использовать функцию справки, чтобы выяснить, какие коман-
команды необходимы для этого. Откройте сеанс TFTP с помощью команды tftp, и бранд-
брандмауэр PIX Firewall загрузит новый файл образа непосредственно в флэш-память.
4. Для брандмауэров PIX Firewall версии 5.1.2 и более поздних версий можно использо-
использовать команду copy tftp flash, чтобы обновить образ без использования режима мо-
мониторинга. Эта команда запросит у вас IP-адрес сервера TFTP и имя файла образа.
Не забудьте проверить документацию, чтобы выяснить требования новых образов
PIX Firewall. Помните о том, что более старые брандмауэры PIX Firewall имеют толь-
только 2 Мбайт флэш-памяти, чего в скором будущем может оказаться слишком мало для
новых образов программного обеспечения.
За дополнительной информацией относительно обновления программного обеспе-
обеспечения брандмауэров PIX Firewall обратитесь к главе "Configuring the PIX Firewall" ру-
руководства PIX Firewall Configuration Guide.
Резюме
Этот раздел содержит краткое описание вопросов, рассмотренных в данной главе.
• Дополнительные возможности трансляции сетевых адресов настраиваются с
помощью средств NAT 0, позволяющих задать диапазон адресов, которые не
должны транслироваться брандмауэром PIX Firewall.
• Контроль исходящего доступа осуществляется посредством команд outbound на
основе адресов источника или получателя.
• Политику защиты можно изменять посредством блокирования аплетов Java и
фильтрации URL.
• Для осуществления более целенаправленного мониторинга системы можно вы-
выбрать соответствующие параметры создания контрольных записей.
• Для удаленного управления сетью можно использовать средства SNMP.
• При настройке резервных возможностей системы брандмауэра можно приме-
применять различные уровни обработки отказов в брандмауэре PIX Firewall.
Глава 12. Использование дополнительных возможностей PIX Firewall 439

• Имеется возможность использования основных функций VPN, включая карты
шифрования Private Link.
• Кроме того, можно организовать доступ РРТР через брандмауэр PIX Firewall.
Практическое занятие. Настройка
дополнительных возможностей
брандмауэра PIX Firewall
Это практическое занятие иллюстрирует возможности настройки дополнительных воз-
возможностей брандмауэра PIX Firewall в сети гипотетической компании XYZ. Прочитайте
план практического занятия, рассмотрите схему топологии сети, ознакомьтесь с политикой
защиты, а затем проанализируйте предлагаемые примеры конфигурации, чтобы увидеть,
как требования политики защиты реализуются в виде команд брандмауэра PIX Firewall.
План практического занятия
Компания XYZ намерена добавить некоторые новые возможности в сеть своего
офиса и внести некоторые изменения в политику сетевой защиты. Напомним о том
(см. главу 11), что компания XYZ подключена к сетям двух поставщиков услуг Internet
и обеспечивает сервис двум партнерам в рамках экстрасети.
Топология
На рис. 12.3 показана схема сети компании XYZ, которая будет настраиваться в
ходе этого практического занятия.
Структура сети и дополнения политики защиты
Изменения, которые компания XYZ намерена внести в структуру своей сети и по-
политику защиты, являются следующими.
• Ограничивается доступ сетей внутренних клиентов к серверу Lotus Notes (адрес
192.168.11.44 в сети ДМЗ).
• Добавляется сервер WebSENSE (адрес 10.1.1.77 в локальной сети администри-
администрирования/управления), ограничивающий HTTP-доступ пользователей к локаль-
локальной сети администрирования/управления.
• Добавляется локальная сеть для клиента 2, адреса которой не транслируются.
Компания XYZ получила сеть 208.155.233.0/24.
• Вводится использование SNMP на базовом уровне, информация прерываний
направляется системе CiscoWorks по адресу 10.1.1.99 в локальной сети админи-
администрирования/управления.
Пример конфигурации брандмауэра PIX Firewall
компании XYZ
Изучите пример 12.17, в котором предлагается вариант конфигурации брандмауэра РГХ
Firewall компании XYZ. В этом примере реализуются описанные выше требования поли-
политики защиты. Здесь показана одна из возможных конфигураций, реализующих данную
440 Часть IV. Настройка CiscoSecure PIX Firewall

политику, но брандмауэр РЕК Firewall можно сконфигурировать и иначе, обеспечив вы-
выполнение тех же требований. Обратите внимание на комментарии, объясняющие связь
команд конфигурации с конкретными требованиями политики защиты.
Пример 12,17,
Рис. 12.3. Схема сети офиса компании XYZ
эжностей
pixltwrite terminal
Building configuration...
: Saved
PIX Version 5.1B)
.' Команды nameif, определяющие конфигурацию интерфейсов и уровни защиты.
1 Помните о том, что связь между интерфейсами одного веса не позволяется.
nameif ethernetO providerl securityO
nameif ethernetl admin securitylOO
nameif ethernet2 dmz security60
nameif ethernet3 clientl security50
nameif ethernet4 client2 security50
nameif ethernet5 provider2 securitylO
enable password AOywFtG5fs31jpjx encrypted
passwd FSbblTfmfXKC.viH encrypted
hostname pixl
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
Глава 12. Использование дополнительных возможностей PIX Firewall 441

names
pager lines 24
.' Актнвнзнрует отправку контрольной информации серверу syslog.
logging timestamp
no logging standby
no logging console
no logging monitor
logging buffered errors
logging trap informational
logging facility 20
logging queue 1024
logging host admin 10.1.1.5
/ ДополнительБая иБформация для конфигурации иитерфейсов Ethernet.
interface ethernetO lObaset
interface ethernetl lOOfull
interface ethernet2 lOOfull
interface ethernet3 lOOfull
interface ethernet4 lOOfull
interface ethernet5 lObaset
mtu provider1 1500
mtu admin 1500
mtu clientl 1500
mtu client2 1500
mtu dmz 1500
mtu provider2 1500
.' Дополнительная информация для конфигурации иитерфейсов Ethernet.
ip address admin 10.1.1.1 255.255.254.0
ip address clientl 10.2.1.1 255.255.0.0
ip address client2 10.3.1.1 255.255.0.0
ip address dmz 192.168.11.1 255.255.255.0
ip address providerl 192.168.1.1 255.255.255.252
ip address provided 192.168.2.1 255.255.255.252
.' Замечание. Адреса провайдера обычно задаются провайдером
! и не обязательно принадлежат диапазону IP-адресов, используемых глобально.
no failover
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
.' Ииформация для пула NAT клиента.
nat (admin) 0 208.155.233.0 255.255.255.0
nat (admin) 1 10.1.1.0 255.255.255.0
nat (admin) 2 10.1.4.0 255.255.255.0
nat (clientl) 3 10.2.1.0 255.255.255.0
nat (client2) 4 10.3.1.0 255.255.255.0
nat (admin) 5 0.0.0.0 0.0.0.0
nat (clienti) 5 0 0 ! (это то же самое, что и 0.0.0.0)
nat (client2) 5 0 0
global (providerl) 1 192.168.1.10-192.168.1.126
442 Часть IV. Настройка CiscoSecure PIX Firewall

global (providerl) 2 192.168.1.127
global (providerl) 3 192.168.1.128-192.168.1.253
global (provided) 4 192.168.2.128-192.168.2.254
global (providerl) 5 192.168.1.254
/ Конфигурация статик и каналов NAT.
static (draz,providerl) 192.168.1.10 10.1.1.4 netmask 255.255.255.255 0 0
static (draz,providerl) 192.168.1.13 10.1.1.5 netmask 255.255.255.255 0 0
static (draz,providerl) 192.168.1.11 192.168.11.3 netmask 255.255.255.255 0 0
static (draz,providerl) 192.168.1.12 192.168.11.4 netmask 255.255.255.255 0 0
conduit permit tcp host 192.168.1.12 eq smtp any 0 0
conduit permit tcp host 192.168.1.11 eq www any 0 0
conduit permit tcp host 192.168.1.11 eq ftp any 0 0
conduit permit tcp host 192.168.2.11 eq ftp any 0 0
conduit permit tcp host 192.168.1.13 eq syslog any 0 0
/ Разрешения для фильтрации ICMP.
conduit permit icmp any any echo-reply
conduit permit icmp any any unreachable
conduit permit icmp any any redirect
conduit permit icmp any any time-exceeded
conduit deny icmp any any
.' Ограничение доступа к серверу Lotus Notes для сетей внутренних клиентов
outbound I deny 192.168.11.44
apply (client1) 1 outgoing dest
apply (client2) 1 outgoing dest
/ Настройка сервера фильтрации URL для административного доступа HTTP
url-server (admin) host 10.1.1.77
filter url http 10.0.0.0 255.255.255.0 0 0
rip providerl passive
no rip providerl default
no rip admin passive
no rip admin default
no rip clientl passive
no rip clientl default
no rip client2 passive
no rip client2 default
no rip draz passive
no rip draz default
no rip provider2 passive
no rip provider2 default
timeout xlate 24:00:00 conn 12:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
/ Настройка аутентификации клиента.
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server admin protocol tacacs+
aaa-server admin (admin) host 10.1.1.4 AdminKey timeout 30
aaa authentication http inbound host 0 0 0
aaa accounting http inbound 0 0 0 0 admin
Глава 12. Использование дополнительных возможностей PIX Firewall 443

.' Конфигурационная информация SNMP
snmp-server location Wiring Closet #2
snmp-server contact John Doe 555-1212
snmp-server community Kookookachoo
snmp-server host admin 10.1.1.99
snmp-server enable traps
telnet 10.1.1.4 255.255.255.0 admin
telnet timeout 5
terminal width 80
Cryptochecksum:dc2a867907ccf77cb25dl42d34fb3449
: end
telnet 10.0.0.0 255.255.255.0 admin
telnet timeout 5
terminal width 80
Cryptochecksum:dc2a867907ccf77cb25dl42d34fb3449
: end
Pixfirewallf
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Как называются TCP-соединения, не завершившие трехшаговую процедуру кви-
квитирования?
2. Как обновить образ программного обеспечения брандмауэра PIX Firewall 515 вер-
версии 5.1.2 и более поздних версий?
3. Допускает ли WebSENSE фильтрацию FTP?
4. Какой уровень серьезности связан с сообщениями syslog для URL и FTP?
5. Как часто посылают сообщения hello устройства обработки отказов брандмауэра
PIX Firewall?
6. Какие три элемента требуются для того, чтобы заставить работать систему пол-
полномасштабной обработки отказов между двумя брандмауэрами PIX Firewall?
7. В какой версии программного обеспечения брандмауэра PIX Firewall впервые
была реализована поддержка туннелей IPSec для сетей VPN?
8. С какими двумя номерами портов связывается использование пакетов SNMP?
9. Какие каналы (разрешения команды conduit) необходимы для того, чтобы позво-
позволить сеансам РРТР пройти через брандмауэр PIX Firewall к внутреннему серверу
Microsoft Windows NT Server?
10. Сколько различных протоколов допускает команда f ixup? Какие это протоколы?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
444 Часть IV. Настройка CiscoSecure PIX Firewall

бокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Фильтрация URL
Узел WebSENSE (www.websense.com) предлагает ссылки с конкретной информацией
о программном обеспечении WebSENSE для фильтрации URL, о ценах и новых вер-
версиях продуктов. На сегодня брандмауэр PIX Firewall поддерживает только URL-
серверы WebSENSE.
Шифрование Private Link
На сайте Cisco (www.cisco.com) шифровальная плата Private Link упоминается в
разделе устаревших материалов. Приобрести ее уже невозможно, но ее описание
было включено в данную главу, поскольку сегодня она все еще используется доста-
достаточно широко.
Протокол РРТР
На Web-узле Microsoft (support.micmsoft.com) имеются ссылки, связанные с вопро-
вопросами конфигурации РРТР и VPN в системах Microsoft Windows 95, 98, NT и 2000.
Сервер TFTP
Обратитесь к странице www.cisco.com/pcgi-bin/tablebuild.pl/tftp, чтобы выяснить, как
установить сервер TFTP для загрузки новых версий программного обеспечения
брандмауэра PIX Firewall.
CiscoSecure Policy Manager
На странице www.cisco.com/public/sw-center/sw-ciscosecure.shtml имеется ссылка, с по-
помощью которой можно зарегистрироваться для получения версии CiscoSecure Policy
Manager, позволяющей управлять одним устройством.
Центр программного обеспечения Cisco Secure
Проверьте ссылки на странице www.cisco.com/public/sw-center/sw-ciscosecure.shtml,
чтобы узнать о новых версиях программного обеспечения брандмауэра PIX Firewall и
его обновлениях, а также о новых версиях программ восстановления пароля и файлов
загрузчика TFTP.
Материалы курса Managing Cisco Network Security 2.0.
Документация на компакт-диске Cisco Connection Online.
Брандмауэр PIX Firewall 520, программное обеспечение версии 5.1B).
Глава 12. Использование дополнительных возможностей PIX Firewall 445

/*
V
у ¦::•¦<•¦.•
.¦p
I
Щ

Часть
V
Технология шифрования Cisco
. Обзор технологии шифрования Cisco
енение шифрования Cisco

Из этой главы вы узнаетейёрйующее.
• Какие проблемьшЩщЙ могут быть решены с помощью шифрования
ние.
шифровШия испол
ся шиф^вание DES.
функцияжширо:
выпойняется ——L-i-
• Как осушёствля
т
н ключами по схеме Ди
К-

Глава
13
Обзор технологии шифрования
Технологии шифрования обеспечивают защиту передачи данных через незащи-
щенные!Сети.>В этой главе обсуждаются технологии шифрования, лежащие в основе
системшСЕТ^Сюсо Encryption Technology — технология шифрования Cisco), приме-
применяемой в маршрутизаторах Cisco.
Реализация технологии шифрования
щ Шифрование пойогает избежать некоторых серьезных угроз нарушения целостно-
целостности сетфъот$ трафикаЛКлиенты могут использовать технологии СЕТ, чтобы гаранти-
гарантировать-' конфиденциальность частных данных при передаче по сети. В данной главе
^пгёдлагается^зор^хнологий шифрования, используемых средствами СЕТ.
Проблема целостности данных и возможности
ее решения Л
Ётавной ^проблемой сетевых администраторов и пользователей является уязвимость
сетёврпНграфика Ь.отдощении самых разных угроз. Одно из решений этой проблемы
заключается в прийшении технологий СЕТ. Ниже предлагается список проблем, ко-
корне могут быть gejpeHbl с помощью шифрования.
Перехват сробщений:
• нарушители мЬгут использовать анализаторы пакетов для захвата и декодирова-
декодирования трафцка^йлявления имен пользователей, паролей и секретных данных;
..«*¦¦¦¦¦ ЗгШ
' нарушители'могут осуществлять сбор информации с целью выявления сете-
сетевых устройств, которые можно будет атаковать впоследствии;
нарушители могут использовать средства перехвата сообщений для захвата
передаваемой по сети информации с целью кражи.
Манипуляция данными:
нарушители могут создавать сообшения с фальсифицированными данными
шпосылать их выбранным хостам (при этом трафик UDP фальсифицировать
гче, чем TCP, но и для последнего возможность фальсификации не ис-
j ключается);

• нарушители могут наблюдать и анализировать трафик, а затем захватить и
частично модифицировать его, чтобы потом направить получателю модифи-
модифицированный трафик;
• нарушители могут перехватить сообщение, внести изменения в его заголо-
заголовок и содержимое, а затем направить модифицированное сообщение полу-
получателю, действуя в рамках захваченного сеанса (шифрование может обеспе-
обеспечить определенную защиту от атак захвата сеанса, поскольку в этом случае
нарушителю придется решать непростую задачу расшифровки шифрованных
данных пакета).
• Пользователь сети может отрицать выполнение им определенных транзакций
(возможность отречения).
Одним из решений, обеспечивающих защиту от этих угроз, является применение
средств СЕТ, которые основаны на стандартных для отрасли технологиях шифрова-
шифрования, обеспечивающих конфиденциальность и целостность данных.
Что такое шифрование
Шифрование — это процесс преобразования исходного текста в шифрованный. В
результате данные оказываются защищенными при передаче или хранении. Перед ис-
использованием текст необходимо дешифровать, т.е. снова перевести в исходную форму.
Шифрование может быть реализовано программными или аппаратными средствами
(цифровыми процессорами сигналов или специализированными интегральными схе-
схемами, ориентированными на конкретные приложения). Шифрование обеспечивает
следующий сервис:
• конфиденциальность данных;
• целостность данных;
• невозможность отречения.
Конфиденциальность данных
Шифрование при передаче данных используется для того, чтобы перевести цифро-
цифровое сообщение из исходной формы в форму шифрованного текста с целью защиты
при пересылке данных по незащищенным сетям. Шифрованное сообщение может
быть прочитано только сторонами, которым оно предназначено, что гарантирует кон-
конфиденциальность данных. Сервис конфиденциальности данных обеспечивает защиту
от перехвата сообщений.
Целостность данных
Шифрование может также гарантировать целостность хранимых, передаваемых и
получаемых данных, обеспечивая невозможность манипуляции данными. Сервис це-
целостности данных может включать аутентификацию устройств, позволяющую убе-
убедиться в том, что устройство, с которым установлена связь, является устройством в
сети соответствующего адресата, а не устройством, посредством которого проводится
атака захвата сеанса. Сервис целостности данных может также включать аутентифика-
аутентификацию данных, позволяющую убедиться в том, что сообщение не было модифицировано
без ведома отправителя во время пересылки. В результате аутентификации данным
может быть присвоена одна из следующих характеристик.
450 Часть V. Технология шифрования Cisco

• Подлинные. Данные действительно поступили от указанного лица и не были
изменены во время пересылки.
• Фальсифицированные. Данные не являются подлинными.
• Непроверяемые. Проверить подлинность данных невозможно из-за отсутствия
открытого ключа отправителя.
Аутентификация данных выполняется по схеме, объединяющей несколько техно-
технологий шифрования (например, СЕТ для обмена ключами и аутентификации сторон
или PGP для защиты электронной почты). Аутентификация может быть и дополни-
дополнительной, со своим отдельным алгоритмом типа DSS (Digital Signature Standard — стан-
стандарт цифровой подписи), который используется для аутентификации в рамках СЕТ и
будет описан немного позже.
Невозможность отречения
Некоторые схемы шифрования гарантируют невозможность отречения, обеспечи-
обеспечивая процедуру доказательства того, что сообщение было отправлено и получено. Не-
Невозможность отречения обеспечивается путем присоединения к отправляемому сооб-
сообщению цифровой подписи, указывающей личность отправителя и время, когда сооб-
сообщение было отправлено, и доказывающей достоверность данных в сообщении. ("Я не
разрешал этот перевод с моей кредитной карточки!" — "Вот доказательство того, что
вы его разрешили.") Невозможность отречения подобна использованию свидетелей
или нотариуса для подтверждения того, что кто-то подписал определенный контракт,
чтобы сторона, подписавшая документ, не могла позже от него отказаться. Это можно
использовать для финансовых сделок, например, по кредитным карточкам. Невоз-
Невозможность отречения может обеспечиваться средствами СЕТ.
Как работают средства шифрования
Элементами системы шифрования являются данные, которые должны быть за-
зашифрованы, ключ, представляющий собой цифровую последовательность, и алгоритм
шифрования (рис. 13.1).
Я
Данные
Однажды в студеную
зимнюю пору...
Шифрованные
данные
qoieu41fsalkj#24%fd)
(*nj)(nhKJGk...
Данные
+ Ключ
+ Алгоритм шифрования
= Шифрованные данные
Рис. 13.1. Основными элементами системы шифрования являются данные, ключ и
алгоритм шифрования
Глава 13. Обзор технологии шифрования Cisco
451

В результате комбинации этих трех основных элементов получаем шифрованное
сообщение, которое можно безопасно переслать по сети.
• Данные. Сообщение в открытом виде, которое необходимо зашифровать. Это
могут быть данные кредитной карточки, банковской транзакции, конфиденци-
конфиденциальные данные компании, медицинские записи о здоровье пациента или любые
другие частные данные, которым требуется обеспечить конфиденциальность.
• Ключ. Цифровая последовательность определенной длины, используемая
для шифрования и дешифрования данных. Ключи подобны паролям. Они
могут быть открытыми и личными. Стандартный ключ DES имеет длину 56
бит. Средства СЕТ используют как 56-битовый, так и 40-битовый вариант
DES. Более новые стандарты (например, IPSec) предполагают использова-
использование более длинных ключей (например, длиной 168 бит). Чем длиннее ключ,
тем меньше вероятность того, что противник сможет вычислить его и де-
дешифровать данные. Обработка более длинных ключей требует больших за-
затрат процессорного времени в маршрутизаторе Cisco на шифрование и де-
дешифрование.
• Алгоритм шифрования. Математическая формула, в результате применения ко-
которой происходит "перемешивание" исходных данных до такой степени, что
внешний наблюдатель не имеет возможности выявить первоначальное содер-
содержимое. Средства СЕТ используют для шифрования алгоритм DES, который бу-
будет описан в этой же главе ниже.
• Шифрованные данные. Данные, полученные в результате применения алго-
алгоритма шифрования. Для внешнего наблюдателя дешифровать шифрованное
сообщение должно быть невозможно. Если шифрованное сообщение вообще
нельзя дешифровать (восстановить данные в их первоначальном виде), оно
окажется бесполезным.
Шифрование может выполняться в системе хоста источника или в маршрути-
маршрутизаторе, находящемся в подходящей точке сети. Процесс шифрования в маршрути-
маршрутизаторе Cisco выполняется либо программным обеспечением маршрутизатора, либо
соответствующим аппаратным модулем. В рамках Cisco IOS Software шифрование
в маршрутизаторах Cisco выполняется объектами, называемыми криптографиче-
криптографическими модулями. Операции криптографического модуля могут выполняться про-
процессором маршрутизатора в памяти или соответствующей схемой электронной
платы. Аппаратные средства обеспечивают более высокую скорость шифрования.
Например, маршрутизаторы серии 7500 могут выполнять операции криптографи-
криптографического модуля с помощью процессорной карты VIP2 (Versatile Interface
Processor 2 — универсальный интерфейсный процессор второго поколения) или с
помощью программного обеспечения. Вопрос о том, как реализуются возможно-
возможности СЕТ в маршрутизаторах Cisco, будет обсуждаться подробнее в главе 14.
Приложения шифрования
На рис. 13.2 показаны некоторые варианты использования шифрования для защи-
защиты связей в IP-сетях.
Приложения шифрования, представленные на рис. 13.2, являются следующими.
452 Часть V. Технология шифрования Cisco

1. Бизнес-партнер
2. Удаленное подразделение
3. Защита глобальной сети
Маршрутизатор
периметра
Обозреватель Web
Брандмауэр PIX
Удаленный
клиент
4. Web-броузер к серверу
Маршрутизатор
территориальной
Маршрутизатор
территориальной
сети
Сервер
сетевого
6. Внутрисетевые
"Грязная"
ДМЗ
Защищенная
ДМЗ
доступа
5. Доступ удаленного Клиент
подразделения
Удаленный доступ
связи
Сервер
приложений
Рис. 13.2. Шесть возможных вариантов использования шифрования
1. Защищенные виртуальные частные сети (VPN), создаваемые для связи между
партнерами через Internet.
2. Защита шлюзов VPN, обеспечивающих связь удаленных подразделений компании
и узлов с территориальной сетью компании через Internet.
3. Защита трафика глобальной сети по вьщеленным линиям или в Internet.
4. Защита транзакций между Web-броузерами и серверами.
5. Защита удаленного доступа подразделений компании к территориальной сети
компании при условии использования подходящего маршрутизатора в удаленном
подразделении.
6. Защита трафика внутренней сети с целью невозможности перехвата секретных
данных внутренними нарушителями.
Вы должны определить, является ли шифрование приемлемым для вас решением
проблемы защиты связи, сделав соответствующие выводы в результате тщательного
анализа сети. Шифрование может потребовать дополнительных процессорных ресур-
Глава 13. Обзор технологии шифрования Cisco
453

сов маршрутизатора и может замедлить передачу данных. Политика сетевой защиты
должна точно указывать, где, когда и как использовать шифрование в сети.
Варианты реализации возможностей шифрования
Сетевые администраторы имеют возможность реализовать шифрование передавае-
передаваемых данных на прикладном, канальном или сетевом уровне модели OSI (Open System
Interconnection — взаимодействие открытых систем), как показано на рис. 13.3. Как
будет видно из обсуждения, предлагаемого в следующих разделах, каждый из этих ва-
вариантов имеет свои преимущества, проблемы реализации и соответствующую цену.
Прикладные
уровниE-7)
Шифрование прикладного уровня
Транспортный/
сетевой
уровниC-4)
Шифрование сетевого уровня
Физический/
канальный
уровниA-2)
Шифрование
канального
уровня
Шифрование
канального
уровня
Рис. 13.3. Варианты реализации возможностей шифрования на трех уровнях
Шифрование прикладного уровня
На прикладном уровне шифрование должно поддерживаться каждым приложением
хоста, генерирующего секретные данные. Все узлы, которым требуется связь с таким
приложением, должны использовать те же алгоритмы шифрования, даже если они ба-
базируются на разных платформах. Шифрование прикладного уровня используют, на-
например, Web-броузеры и серверы, которые выполняют шифрование и дешифрование
данных с помощью протоколов SSL (Secure Sockets Layer — протокол защищенных
сокетов) и HTTPS (HyperText Transmission Protocol, Secure — протокол защищенной
передачи гипертекстов), что обеспечивает защиту транзакций в Internet. Шифрование
прикладного уровня используется также приложениями клиента и сервера электрон-
электронной почты, поддерживающими PGP.
Шифрование прикладного уровня имеет преимущество при сквозной связи и мо-
может активизироваться только тогда, когда это требуется пользователю. Такая децен-
децентрализация и необходимость настройки средств шифрования в каждом узле создают
большие трудности системному администратору, задачей которого является управле-
управление политикой защиты всей компании.
454
Часть V. Технология шифрования Cisco

Шифрование канального уровня
Шифрование канального уровня может быть реализовано в различных устройствах
с целью защиты соединений, внешних по отношению к маршрутизатору, как показа-
показано на рис. 3.3. При шифровании канального уровня шифруется весь трафик соответ-
соответствующего канала, включая заголовки сетевого уровня пакетов и информацию о типе
протокола. Эффективность шифрования канального уровня зависит от топологии се-
сети. Процесс шифрования/дешифрования должен повторяться для каждого канала, ко-
которому требуется защита. Ввиду того, что в этом случае IP-адреса не остаются в от-
открытом виде, понятном для средств маршрутизации, дешифрование и повторное
шифрование приходится выполнять несколько раз, что может приводить к задержкам
и возможной "компрометации" зашиты, поскольку соответствующим маршрутизато-
маршрутизаторам приходится предъявлять текст сообщения в открытом виде.
Примером устройства, осуществляющего шифрование канального уровня, является
IRE Model HS Remote Encryptor. Это внешнее устройство (размером с внешний модем)
имеет два порта. Один порт обрабатывает открытые данные, а другой — шифрованные.
Шифрование сетевого уровня
Шифрование на сетевом уровне может быть выполнено в любой точке сети. Оно мо-
может быть реализовано для всего трафика и не требует обновления всех приложений хоста.
Кроме того, при этом вся необходимая для маршрутизации информация 3- и 4-го уровней
остается в открытом виде. Поэтому при усилении сетевой защиты пользователи могут по-
прежнему иметь заданное качество обслуживания (QoS) сквозной связи.
Шифрование сетевого уровня оказывается прозрачным при пересечении границ
подсетей и достаточно просто реализуется с точки зрения сетевого администратора.
Примерами использования технологий шифрования сетевого уровня является система
СЕТ в маршрутизаторах Cisco, предлагаемая программным обеспечением Cisco IOS, и
шифрование IPSec в брандмауэрах PIX Firewall.
Протокол IPSec был разработан с целью поддержки шифрования сетевого уровня и
защищенного выбора ключей. Средства IPSec будут обсуждаться подробнее в главе 15.
Шифрование сетевого уровня и СЕТ
Система СЕТ, представляющая собой реализацию шифрования сетевого уровня,
предлагаемую компанией Cisco, позволяет сетевому администратору достаточно про-
просто интегрировать средства шифрования в систему защиты сети. Такая интеграция
оказывается незаметной для конечных пользователей и их приложений, а также для
всех промежуточных маршрутизаторов, сетей и других устройств. Шифрование необ-
необходимо только на границе той локальной сети, где генерируются секретные данные.
Дешифрование не требуется до тех пор, пока данные не достигнут маршрутизатора на
границе той локальной сети, где находится хост адресата.
Сетевые администраторы имеют возможность применить шифрование сетевого
уровня в любом месте маршрута, по которому передаются данные. Средства СЕТ, в
которых шифрование применяется после заголовка TCP или UDP (так что шифро-
шифрованными оказываются только данные TCP или UDP), оставляют возможность всем
промежуточным маршрутизаторам и коммутаторам уровня 3 направлять шифрован-
шифрованный трафик точно так же, как обычный трафик IP. Шифрование только полезного
груза пакета позволяет осуществлять коммутацию шифрованного потока и использо-
использовать списки доступа точно так же, как и в случае открытых сообщений, в результате
Глава 13. Обзор технологии шифрования Cisco 455

чего сохраняется заданное качество обслуживания для всех данных. Пользователи по-
получают возможность свободно передавать шифрованные данные через Internet.
Ниже указаны некоторые характеристики шифрования сетевого уровня:
• трафик шифруется на уровне потоков между конкретными парами пользова-
пользователь/приложение или подсетями;
• шифрование зависит от протокола, но независимо от среды/интерфейса;
• не требуется поддержка шифрования промежуточными сетевыми устройствами;
• шифрование не зависит от топологии сети;
• шифрование сетевого уровня поддерживается программным обеспечением
Cisco IOS.
На рис. 13.4 шифрующие маршрутизаторы сторон выполняют шифрование только
трафика между хостом А и сервером HR. Весь остальной трафик остается открытым.
Трафик между клиентом А и HR-сервером шифруется
HR-сервер
Сервер
электронной
почты
Шифрующий
маршрутизатор А
Шифрующий
маршрутизатор В
Остальной трафик остается открытым
Рис. 13.4. Шифрование сетевого уровня не влияет на маршрутизацию
Обзор криптосистемы Cisco IOS
Устройства Cisco выполняют шифрование с помощью средств СЕТ, используя че-
четыре варианта технологии шифрования, формирующие в совокупности интегрирован-
интегрированную криптосистему — комбинацию технологий шифрования для решения коммуни-
коммуникационных проблем (рис. 13.5).
• Алгоритм DES (Data Encription Standard — стандарт шифрования данных). Наи-
Наиболее популярный из методов шифрования и дешифрования данных с целью
сохранения конфиденциальности.
• Алгоритм MD5 (Message Digest 5 — алгоритм создания профиля сообщения). Од-
Односторонний метод шифрования, порождающий вывод фиксированной длины
для данных переменной длины. MD5 используется совместно с DSS для созда-
создания цифровых подписей.
• Алгоритм DSS (Digital Signature Standard — стандарт цифровой подписи). Метод
шифрования, порождающий криптографическую контрольную сумму, присое-
456
Часть V. Технология шифрования Cisco

диняемую к сообщению как подпись. DSS идентифицирует шифрующие мар-
маршрутизаторы сторон.
Алгоритм Днффн-Хеллмана для согласования ключей. Защищенный метод согла-
согласования открытых ключей, используемых при создании совместно используе-
используемых сторонами секретных ключей для сеансов DES между шифрующими мар-
маршрутизаторами сообщающихся сторон.
Алгоритм DES
для шифрования данных
Обновление
маршрутизации
Подпись
Алгоритм MD5 для
создания хэш-кода сообщения
Алгоритм DSS для
идентификации сторон
Алгоритм Диффи-Хеллмана
для защищенного выбора
личных ключей
Рис. 13.5. Компонентами криптосисте-
криптосистемы СЕТ являются DES, MD5, DSS
и алгоритм Диффи-Хеллмана
Существует множество стандартов защиты секретных ключей и их согласованного
изменения. Один из таких стандартов — стандарт DSS — использует систему откры-
открытых/личных ключей для идентификации сторон в ходе электронного обмена данными.
Алгоритм Диффи-Хеллмана применяется для согласования ключей без непосредст-
непосредственного обмена ключами. Это самый известный и наиболее широко используемый
алгоритм согласования сеансовых ключей для шифрования данных. Однако поскольку
он не обеспечивает идентификацию сторон, версии Cisco IOS, поддерживающие СЕТ,
включают алгоритм DSS. Алгоритмы DES, DSS и Диффи-Хеллмана являются неотъ-
неотъемлемой составляющей только версии 11.2 и более новых.
Шифрование DES
DES является одним из наиболее широко используемых стандартов шифрования.
С помощью алгоритма DES система переводит открытый текст в шифрованный. Ал-
Алгоритм дешифрования DES в удаленной системе получателя восстанавливает откры-
открытый текст из шифрованного. Шифрование и дешифрование выполняются с помощью
ключей. Ключи, которыми владеют стороны (т.е. которые стороны совместно исполь-
Глава 13. Обзор технологии шифрования Cisco
457

зуют), идентичны, но их значения никогда не передаются по сети. Схема соответст-
соответствующего процесса показана на рис. 13.6.
Общий секретный I
ключ Ж
?Ш
Данные
Однажды в
студеную
1 .*Ц^|
йЖ*
Общий секретный 1
ключ И
Шифрованные
данные
qoieu41fsalkj#24%fd)
Cnj)(nhKJGk...
Данные
Однажды в
студеную
Рис. 13.6. При шифровании открытый текст преобразуется в шифрованный, при дешифровании вы-
выполняется обратный процесс, а ключи позволяют это реализовать
DES — это общедоступный алгоритм блочного шифрования. Алгоритм DES берет
данные открытого текста, которые требуется зашифровать, разбивает их на 64-
битовые блоки, выполняет операцию шифрования для каждого блока и выводит
шифрованные данные в виде 64-битовых блоков. Для этого алгоритма доступна также
опция использования 8-битовых блоков.
Как мы с вами выясним немного позже, стойкость DES зависит от ключа, кото-
который используется алгоритмом шифрования. Стандартная длина ключа DES равна 56
бит, и ключом может быть любое 56-битовое значение. Программное обеспечение
Cisco IOS генерирует случайные значения ключей DES, используя для этого алгоритм
Диффи-Хеллмана.
Процесс шифрования DES
При шифровании DES выполняются следующие пять шагов.
1. DES выполняет начальную перестановку в блоке открытого текста, для простоты
оперируя однобайтовыми порциями блока.
2. Ключ преобразуется в форму, подходящую для использования в алгоритме шиф-
шифрования.
3. Полученный в результате начальной перестановки 64-битовый блок разбивается
пополам на две порции длиной 32 бит.
4. Одна половина обрабатывается сложной, заданной таблицами подстановкой, за-
зависящей от преобразованного ключа. Вывод связывается операцией XOR
(исключающее ИЛИ) со второй 32-битовой половиной. Соответствующее преоб-
преобразование называется раундом и повторяется 16 раз. После каждого раунда две
32-битовые половины меняются местами.
5. По завершении последнего раунда применяется конечная перестановка. В полу-
полученном в результате 64-битовом блоке шифрованного текста каждый бит зависит
от всех битов ввода и всех битов ключа.
Блочные шифры могут обеспечить дополнительную защиту целостности данных с
помощью обратной связи. Алгоритм шифрования Cisco использует режим CFB
458
Часть V. Технология шифрования Cisco

(режим шифрованной обратной связи), при котором блоки открытого текста связы-
связываются операцией XOR с блоками шифрованных данных. Режим CFB позволяет убе-
убедиться в том, что были переданы и получены все данные.
Алгоритм DES является симметричным в том смысле, что один и тот же алгоритм
используется как для шифрования, так и для дешифрования сообщений. Точно так же
и для шифрования, и для дешифрования используется один и тот же ключ.
Алгоритм DES легко реализуется как в аппаратном, так и программном виде. Из-
Изначально он разрабатывался фирмой IBM для реализации в виде аппаратных средств.
СЕТ для шифрования и дешифрования данных использует именно алгоритм DES.
Ключи DES
Самой важной задачей криптографического алгоритма является защита от взлома.
Защита криптосистемы или степень сложности (для атакующего) задачи выяснения
содержимого шифрованного сообщения зависит от нескольких ключевых моментов.
Для большинства протоколов краеугольным камнем является защита секретности
ключа, с помощью которого шифруются данные. Алгоритм DES разрабатывался так,
чтобы при отсутствии ключа определить открытый текст было чрезвычайно сложно.
В любой криптосистеме принимаются специальные меры, обеспечивающие защиту
ключей шифрования. Cisco осознает важность защиты ключей: две из трех состав-
составляющих технологии шифрования, используемых системой СЕТ, относятся скорее к
сфере распределения ключей и их защите, чем к шифрованию данных (алгоритмы
DSS и Диффи-Хеллмана).
После того как шифрующие маршрутизаторы сторон получат (в результате примене-
применения DSS или алгоритма Диффи-Хеллмаиа) в распоряжение общий ключ, они могут ис-
использовать его для того, чтобы связываться друг с другом с применением алгоритма
шифрования DES. В данном случае немаловажен вопрос о длине ключа; большее число
знаков угадать труднее, чем меньшее. Шифрованные данные DES могут быть дешифро-
дешифрованы нарушителем, если у него будет достаточно времени и вычислительных ресурсов
для вычисления ключа. Если ключ обнаружен, то все пакеты, которые были зашифро-
зашифрованы с помощью этого ключа, нарушителю будет легко дешифровать. Частое изменение
секретных ключей уменьшает вероятность того, что атакующему удастся раскрыть дан-
данные, так как у него будет меньше времени для того, чтобы начать атаку, вычислить
ключ и дешифровать данные до того, как ключ изменится снова. Чем больше длина
ключа, тем лучше защищены шифрованные данные. Точно так же, чем короче шифро-
шифрованный сеанс, тем меньше вероятность того, что хакеру удастся его взломать.
Система СЕТ использует стандартный 56-битовый ключ DES, а также 40-битовый ва-
вариант ключа DES для соответствия экспортным законам. "Тройной" DES (применяемый в
IPSec) использует 168-битовые ключи для более сильной защиты.
Атаки против DES
Алгоритм DES уязвим в отношении криптоанализа и атак, основанных на простом
переборе всех вариантов ключа. При простом переборе нарушители используют спе-
специальное программное обеспечение, чтобы выяснить ключ шифрования посредством
выполнения алгоритма DES для блока шифрованных данных с каждым возможным
ключом по очереди, до тех пор пока шифрованные данные не будут дешифрованы.
Криптоанализ является своего рода искусством использования достижений математи-
математики для выявления ключа шифрования. За более подробной информацией о попытках
взлома DES обратитесь по адресу: www.distributed.net/des.
Глава 13. Обзор технологии шифрования Cisco 459

Алгоритм MD5 хэширования сообщений
Хэширование сообщений представляет собой технику шифрования, которую мож-
можно использовать для того, чтобы гарантировать неизменность сообщения в пути его
передачи. Алгоритм MD5 получает на вход сообщение в виде открытого текста произ-
произвольной длины. Такое сообщение может быть парой "имя/пароль пользователя" или
обновлением маршрутизации Cisco. К поступившему на вход сообщению применяется
алгоритм MD5, и в результате получается вывод фиксированной длины — 128-
битовый "профиль" сообщения, называемый также хэш-кодом. Схема соответствую-
соответствующего процесса показана на рис. 13.7.
Открытое сообщение
172.16.1.243829192.168.2.1
21 cafebabeadc 14ed
•Сообщение переменной длины
Хэшированное
сообщение
12KFQnbNldl.2KYOURjwipaOt
sHSnXKApfjxid#5ls...
¦ Алгоритм MD5 создания
профиля сообщения
— хэширование должно
гарантировать невозможность
модификации сообщения
— используется со средствами
аутентификации CHAP, DSS
1 Хэш-код фиксированной длины
Рис. 13.7. Алгоритм MD5 порождает хэш-код фиксиро-
фиксированной длины для вводимого сообщения переменной
длины, что обеспечивает возможность контроля
целостности данных
При использовании современных вычислительных возможностей, как правило,
практически невозможно обратить процесс хэширования или найти два разных сооб-
сообщения с одним и тем же профилем сообщения. Алгоритм MD5 используется в при-
приложениях создания цифровых подписей. Программное обеспечение Cisco IOS приме-
применяет алгоритм MD5 создания профиля сообщения для хэширования сообщений в
процессе аутентификации паролей CHAP и создания подписей DSS. Алгоритм MD5
был создан Рональдом Райвестом (Ronald Rivest) и описан в документе RFC 1321. Бо-
Более подробная информация об алгоритмах хэширования содержится в разделе
"Хэшированные коды аутентичности сообщений" главы 15.
Шифрование DSS
Шифрование DSS обеспечивает защиту данных от несанкционированного измене-
изменения. Для цифровых подписей используется личный ключ, с помощью которого созда-
создается криптографическая контрольная сумма. Любой, кто имеет открытый ключ сторо-
стороны, подписавшей сообщение, может проверить цифровую подпись, но только сторо-
сторона, подписавшая сообщение, может создать соответствующую подпись.
460
Часть V. Технология шифрования Cisco

С помощью DSS можно идентифицировать отправителя сообщения или компьютер, с
которого выходит на связь пользователь; подобно тому, как обычная подпись идентифи-
идентифицирует подписавшего чек. Алгоритм DSS построен на использовании пары открытого/
личного ключей. Открытый ключ создается на основе личного ключа с помощью односто-
одностороннего преобразования последнего. Каждый пользователь или устройство имеет свой от-
открытый ключ (который предоставляется каждому, кому требуется связь с данным пользо-
пользователем) и личный ключ. С точки зрения вычислительных возможностей определить лич-
личный ключ по открытому считается практически невозможным. Алгоритм опирается на
функцию хэширования MD5, чтобы гарантировать аутентичность пересылаемых данных.
Применение функции хэширования является способом получения "профиля" сообщения.
Идея заключается в том, что если два "профиля" совпадают, то сообщение не было изме-
изменено. Затем соответствующий хэш-код обрабатывается с помощью некоторой функции,
использующей личный ключ, чтобы "подписать" сообщение. Эти значения обратимы для
тех, кто имеет соответствующий открытый ключ. Сторона-получатель вычисляет тот же
хэш-код и проверяет подпись, чтобы проверить аутентичность и целостность содержимого
сообщения.
Применение DSS обеспечивает очень надежный способ защищенного обмена данны-
данными, гарантирующий целостность содержимого прибывшего сообщения; личность отправи-
отправителя идентифицируется соответствующим личным ключом (только конкретный отправи-
отправитель владеет этим ключом) — единственным ключом, создающим подпись, которую мож-
можно проверить открытым ключом данного лица. Все пользователи хранят свои личные
ключи в секрете, но сообщают открытые ключи всем, кому может понадобиться электрон-
электронная связь с ними. В идеале эти открытые ключи должны храниться в известном и надеж-
надежном хранилище типа центра сертификации (Certificate Authority — СА). Стандарт DSS ис-
использует технологию хэширования, чтобы гарантировать аутентичность данных.
Создание подписи DSS
На рис 13.8 показана схема процесса, в результате которого генерируется подпись DSS.
Обновление
маршрутизации
Маршрутизатор А
Обновление
маршрутизации
Подпись
3.
А
= I Подпись I
Рис. 13.8. Создание подписи DSS в маршрутизаторе А
для сообщения, содержащего параметры обновления
маршрутизации
Глава 13. Обзор технологии шифрования Cisco
461

Примером использования DSS является аутентификация обновлений маршрутиза-
маршрутизации, выполняемая программным обеспечением Cisco IOS. На самом деле алгоритм
DSS будет работать с любым типом данных, которым требуется аутентификация.
1. Маршрутизатор А выполняет хэширование для данных обновления маршрутиза-
маршрутизации, используя MD5.
2. Маршрутизатор А шифрует полученный хэш-код с помощью своего личного
ключа, создавая цифровую подпись.
3. Маршрутизатор А присоединяет полученную подпись к сообщению обновления
маршрутизации и отправляет результат маршрутизатору В.
Верификация подписи DSS
Цифровая подпись проверяется принимающим маршрутизатором так, как показа-
показано на рис. 13.9.
Обновление
маршрутизации
Подпись
Маршрутизатор В
Обновление
маршрутизации
Рис. 13.9. Алгоритм DSS используется в маршрутизаторе В
для проверки целостности полученного обновления мар-
маршрутизации
Цифровая подпись проверяется принимающим маршрутизатором по следующей схеме.
1. Маршрутизатор В разделяет цифровую подпись и данные обновления маршрути-
маршрутизации.
2. Маршрутизатор В дешифрует цифровую подпись, используя открытый ключ маршру-
маршрутизатора А, и получает хэш-код, который был сгенерирован маршрутизатором А.
3. Маршрутизатор В вычисляет хэш-код для полученного обновления маршрутизации.
4. Маршрутизатор В сравнивает только что вычисленный хэш-код с хэш-кодом, полу-
полученным от маршрутизатора А. Если хэш-коды совпадают, то обновление маршрутиза-
маршрутизации считается подлинным, а не сфальсифицированным сетевым нарушителем.
Согласование ключей по методу Диффи-Хел л мана
Метод Диффи-Хеллмана позволяет осуществить защищенный обмен открытыми
ключами, чтобы можно было безопасно генерировать общие секретные ключи, ис-
462
Часть V. Технология шифрования Cisco

пользуемые с алгоритмом DES. Для идентификации сторон при выборе сеансового
ключа применяют DSS, но пользователям необходимо также иметь возможность ка-
каким-то защищенным способом генерировать сеансовые ключи и обмениваться ими.
Поскольку очень важно, чтобы соответствующий ключ сохранялся в секрете, процеду-
процедура обмена ключами должна гарантировать, что никакая третья сторона не сможет оп-
определить сеансовый ключ, даже если обмен выполняется по незащищенной линии.
Алгоритм Диффи-Хеллмана создан специально для решения этой проблемы.
Специалисты Cisco выбрали протокол и процесс создания ключей Диффи-
Хеллмана, поскольку это один из проверенных, наиболее надежных и широко исполь-
используемых методов обмена ключами. Он очень надежен, потому что сам ключ по сети
вообще не пересылается (при пересылке он может быть раскрыт третьей стороной) и
никакая третья сторона не может определить его. Метод Диффи-Хеллмана обеспечи-
обеспечивает защиту от перехвата ключа с помощью использования двух известных простых
чисел (например, р и q). Эти числа связаны специальной математической формулой,
что позволяет сторонам договориться об общем секретном ключе, но не позволяет оп-
определить ключ нарушителям, даже если они знают соответствующие простые числа.
Система СЕТ использует для р и q определенные фиксированные числа.
Конечным результатом обмена Диффи-Хеллмана является создание общего сек-
секретного ключа. Ключи обеих сторон одинаковы, но они никогда не объявляются и не
пересылаются по сети. Общий секретный ключ используется для шифрования сооб-
сообщений с помощью DES.
Нарушитель, пытающийся перехватить открытые ключи Диффи-Хеллмана, не
сможет с легкостью вычислить общий секретный ключ и также не сможет легко рас-
расшифровать сообщение с открытым ключом. Для сообщающихся сторон очень важно,
чтобы их общий секретный ключ оставался защищенным.
В реализации СЕТ алгоритма Диффи-Хеллмана общие секретные ключи никогда
не вводятся вручную и их нельзя увидеть, что усиливает зашиту. Недостатком являет-
является то, что при этом системному администратору необходимо инициировать и прове-
проверить работоспособность алгоритма Диффи-Хеллмана в каждом маршрутизаторе. Ис-
Использование IPSec автоматизирует обмен Диффи-Хеллмана.
Более подробное обсуждение алгоритма Диффи-Хеллмана предлагается в главе 15.
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Шифрование помогает защититься от подслушивания, кражи информации, ма-
манипуляции данными и захвата сеанса, а также обеспечивает невозможность от-
отрицать факт пересылки сообщения.
• Шифрование представляет собой процесс перевода открытого текста в шифро-
шифрованный с помощью алгоритма шифрования и ключа, чтобы только соответст-
соответствующие стороны могли прочитать данные, расшифровав их.
• Шифрование обеспечивает конфиденциальность, целостность и аутентичность
данных, а также невозможность отрицать факт пересылки сообщения, если он
действительно имел место.
• Маршрутизаторы Cisco выполняют шифрование с помощью средств программного
обеспечения Cisco IOS или специальных плат, установленных в маршрутизаторах.
Глава 13. Обзор технологии шифрования Cisco 463

• Шифрование может использоваться для создания сетей VPN между деловыми
партнерами или удаленными подразделениями компании, защиты трафика в
глобальной сети, трафика Web, удаленных связей, а также для защиты трафика
внутренней сети.
• Cisco использует в своих продуктах технологии DES, MD5, DSS и метод Диф-
фи-Хеллмана.
• Стандарт DES применяется для шифрования данных, а соответствующие ключи
имеют длину 40 или 56 бит.
• Алгоритм MD5 хэширования сообщений порождает хэш-коды фиксированной
длины для вводимых сообщений, и соответствующее преобразование не являет-
является обратимым. Хэш-коды используются для цифровых подписей.
• Алгоритм DSS создает цифровую подпись сообщения, гарантирующую аутен-
аутентичность данных.
• Алгоритм Диффи-Хеллмана обеспечивает метод защищенного обмена откры-
открытыми ключами, используемыми при создании ключей DES.
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Какие проблемы защиты решаются с помощью технологии шифрования?
2. Из каких основных компонентов состоит шифрование?
3. Каким образом технология шифрования обеспечивает защиту связей в Internet,
между сетями или внутри сети?
4. Какие три свойства потока обеспечиваются шифрованием?
5. Какие технологии шифрования использует компания Cisco в рамках СЕТ?
6. Для чего в СЕТ используется алгоритм DES?
7. Какой длины ключи DES поддерживаются в рамках СЕТ и почему длина ключа
оказывается важным параметром?
8. Как в продуктах Cisco используется алгоритм MD5 хэширования сообщений?
9. Как в СЕТ применяется алгоритм DSS?
10. Как в СЕТ используется алгоритм Диффи-Хеллмана?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Функционирование СЕТ
Cisco IOS Software Feature: Network Layer Encryption, 1997. "Белая книга", содержа-
содержащая обзор технологий, используемых системой СЕТ, обсуждение их приложений и
464 Часть V. Технология шифрования Cisco

особенностей реализации, а также рекомендации по настройке. Размещается по адре-
адресу: www. cisco. com/wacrp/customer/732/Security/encrp_wp. htm.
Алгоритмы шифрования и их действие
Schneier В. Applied Cryptography, Second Edition, Wiley, 1996.
Smith R. E. Internet Cryptography, Addison-Wesley, 1997.
MD5
RFC 1321. Rivest R. The MD5 Message-Digest Algorithm, April, 1992.
DSS
"Announcing the Standard for Digital Signature Standard (DSS)", Federal Information
Processing Standards (FIPS) Publication 186, May, 19, 1994.
Другие источники информации о шифровании
Security Command Reference, Cisco IOS Release 12.0, October, 1999.
Security Configuration Guide, Cisco IOS Release 12.0, October, 1999.
Глава 13. Обзор технологии шифрования Cisco 465

^^!5^:"!"'''1^Ш?^л-г '*- ^J?-&:'
Изучив материал данной ip
. Указать ^
• Обеспечить
соединений, настрбТй'в средства СИ? в маршрутизаторах
Cisco на примере материала практического занятия. Ш
• Объясйть,|^к применяются средства^ЕТjk-^^^проверить правильность их
наст$эек.|# Щ ^чШ^^^ %
-;vt
.#¦'
УЫ
"ЖВЗ

Глава
14
Применение шифрования
шсо
;ств
,1Яе и как
„#%ЬНОСТЬ||
обсуждаются принципы, возможности и соответствующие процедуры
СЕТ (Cisco Encryption Technology — технология шифрования
сняется, на основе каких аппаратных средств работает система СЕТ,
[спользовать эти средства, как их настроить и как проверить пра-
Основы
СисШАСЕТ
эваниврол!
4tp позволяе^осу;
^ЕТ могут
аторовдос _ _г
Система СЕТ^имеет
поли
_,.,.„. JB И ПГ'
.** 'Аутентифи:
хл dard — ста
• Управлени!е?ееан'
ает средства шифрования сетевого уровня, обеспечивающие
уза пакетов IP (за исключением заголовков UDP и TCP),
маршрутизацию шифрованных пакетов в IP-сети. Средст-
ованы в самых разных маршрутизаторах Cisco — от маршру-
до магистральных маршрутизаторов серии 7500.
(дующие функциональные возможности.
Е шифрования в сети, подсети или для конкретных пар IP-
оответствии с расширенными списками доступа IP.
йств на основе стандарта DSS (Digital Signature Stan-
ровой подписи).
;ыми ключами с применением алгоритма Диффи-Хеллмана.
на основе стандарта DES (Data Encription Standard — стандарт
полняется с помощью криптографического модуля, который
аршрутизаторе или в специальных платах шифрования — сер-
IP2 или ESA.
ические модули СЕТ
предоставляются специальным сервисом программного обеспечения
криптографическим модулем. Каждый интерфейс маршрутизатора управля-
криптографическим модулем, зависящим от аппаратной конфигурации
ршифрщшего маршрутизатора. Существует три типа криптографических модулей: крип-

тографический модуль Cisco IOS, криптографический модуль VIP2 (Versatile Interface
Processor 2 — универсальный интерфейсный процессор второго поколения) и крипто-
криптографический модуль ESA (Encryption Service Adapter — криптографический сервис-
адаптер). В табл. 14.1 предлагается краткая сводка возможностей поддержки криптогра-
криптографических модулей в маршрутизаторах Cisco.
Маршрутизаторы
Криптографические модули
Программная
поддержка
Все поддерживающие СЕТ мар-
маршрутизаторы Cisco без поддержки
VIP2-40 или ESA
Маршрутизаторы серии 7500,
поддерживающие VIP2-40.
Маршрутизаторы серии 7000, ис-
использующие RSP7000 или
RSP7000CI с поддержкой VIP2-40
Маршрутизаторы серии 7500, под-
поддерживающие VIP2-40 и ESA.
Маршрутизаторы серии 7000, исполь-
использующие RSP7000 или RSP7000CI с
поддержкой V1P2-40 и ESA
Маршрутизаторы серии 7200 с уста-
установленным и активным модулем ESA
Криптографический модуль Cisco IOS Зависит от маршрутизатора
Криптографический модуль VIP2-
40 на интерфейсах, поддерживае-
поддерживаемых модулем VIP2-40.
Криптографический модуль Cisco
IOS на других интерфейсах
Криптографический модуль ESA
на интерфейсах, поддерживаемых
модулем VIP2-40.
Криптографический модуль Cisco
IOS на других интерфейсах
Криптографический модуль ESA
Версии 11.2G)Р и более поздние
Версии 11.2G)Р и более поздние
Версии 11.2Gа)Р и более поздние
Планировщик Cisco IOS Software Planner, доступный на странице www.cisco.com/
kobayashi/sw-center/sw-ios.shtml, предлагает точную информацию о версиях Cisco IOS,
характеристиках платформ и программном обеспечении, поддерживающем СЕТ. Ва-
Варианты программного обеспечения СЕТ характеризуются длиной поддерживаемых
ключей — 40 или 56 разрядов. Например, программное обеспечение Enterprise Plus 56
поддерживает в рамках СЕТ шифрование DES с 56-битовым ключом. Чтобы получить
доступ к Центру программного обеспечения Web-узла ССО, необходимо быть зареги-
зарегистрированным пользователем ССО.
Криптографический модуль Cisco IOS
Каждый маршрутизатор, предлагающий программную поддержку шифрования в
рамках Cisco IOS, имеет криптографический модуль Cisco IOS. Если маршрутизатор
не имеет дополнительных криптографических модулей, то криптографический модуль
Cisco IOS управляет всеми интерфейсами маршрутизатора. Для многих маршрутизато-
маршрутизаторов Cisco криптографический модуль Cisco IOS является единственным доступным
криптографическим модулем. Исключением являются маршрутизаторы Cisco серий
7200, RSP7000 и 7500, которые могут иметь дополнительные криптографические мо-
модули, как будет видно из следующих двух разделов.
Криптографический модуль ассоциируется с программным обеспечением Cisco
IOS, размещенным в процессоре RSP (Route Switch Processor — процессор коммута-
коммутации маршрутов), а также с VIP2 (в VIP2 IOS) и VIP2 ESA. Преимущества использова-
использования VIP2 или VIP2 ESA заключаются в следующем.
468
Часть V. Технология шифрования Cisco

• Программное обеспечение V1P2 (доступное на базе платформ 7500/VIP) обес-
обеспечивает сервис шифрования на каждом разъеме. Операции шифрования пла-
платой VIP2 обычно выполняются быстрее, и при этом уменьшается нагрузка на
процессор RSP Cisco IOS.
• Маршрутизаторы Cisco серий 7200, RSP7000 и 7500 могут поддерживать ESA с
целью повышения скорости шифрования.
• Поддержка V1P2 ESA (доступная на базе платформ 7500/VIP) повышает произ-
производительность системы шифрования, обеспечивая при этом сервис шифрования
на каждом разъеме и средства контроля неприкосновенности ключей. (В этой
главе аббревиатура VIP2 означает как программное обеспечение V1P2, так и
VIP2 ESA.)
Криптографический модуль VIP2
Маршрутизаторы Cisco серий RSP7000 и 7500 с поддержкой VIP2-40 имеют два
криптографических модуля: криптофафический модуль Cisco IOS и криптографиче-
криптографический модуль VIP2.
Криптофафический модуль VIP2 управляет теми интерфейсами, для которых пре-
предусмотрена поддержка VIP2. Все остальные интерфейсы маршрутизатора управляются
криптофафическим модулем Cisco IOS. Здесь предполагается, что в VIP2 не установ-
установлен модуль ESA. Если VIP2 имеет модуль ESA, то управление интерфейсами выпол-
выполняется по-другому — так, как объясняется в следующем разделе.
Криптографический модуль ESA
ESA (Encryption Service Adapter — криптографический сервис-адаптер) представля-
представляет собой адаптер порта для карты VIP2-40 или выполненный в виде отдельного моду-
модуля адаптер порта для маршрутизатора Cisco 7200. На базе ESA выполняется крипто-
криптофафический модуль, обеспечивающий аппаратную поддержку шифрования и дешиф-
дешифрования данных, проходящих через интерфейсы интерфейсной карты VIP2
маршрутизатора Cisco 7500, или трафика вообще любого интерфейса маршрутизатора
Cisco 7200. ESA снижает нафузку на процессор, что освобождает ресурсы для под-
поддержки других возможностей Cisco IOS.
Маршрутизаторы Cisco серии 7200 с поддержкой ESA
Адаптер ESA подключается к шасси маршрутизатора Cisco 7200. Когда маршрутизатор
Cisco 7200 имеет активный модуль ESA, всеми интерфейсами маршрутизатора управляет
именно криптографический модуль ESA (а не криптофафический модуль Cisco IOS).
Если ESA неактивен, всеми интерфейсами маршрутизатора управляет криптогра-
криптографический модуль Cisco IOS. В маршрутизаторах Cisco 7200 можно указать, какой
криптофафический модуль должен быть активным (при этом в любой момент време-
времени может быть активным только один криптофафический модуль).
Маршрутизаторы Cisco серий RSP7000 и 7500 с поддержкой ESA
В маршрутизаторах Cisco серий 7500 и 7000 с поддержкой RSP7000, для работы
модуля ESA требуется плата VIP2-40, а сам модуль должен быть установлен в первый
портовый разъем. Модуль ESA с соответствующим портовым адаптером подключается
к плате VIP2. При этом связанными с VIP2 интерфейсами управляет именно крипто-
криптофафический модуль ESA (а не криптофафический модуль VIP2). Всеми остальными
интерфейсами управляет криптофафический модуль Cisco IOS.
Глава 14. Применение шифрования Cisco 469

Действие СЕТ
При шифровании сетевого уровня в маршрутизаторах Cisco выполняются пять сле-
следующих шагов.
Шаг 1. Планирование процедуры шифрования на основе получения необходимой
информации и выбора соответствующей политики шифрования.
Шаг 2. Подготовка маршрутизаторов к применению шифрования, предполагающая
изменение ряда настроек. Системный администратор должен выполнить на-
настройку шифрующих маршрутизаторов всех сообщающихся сторон.
Шаг 3. Установка шифрованной связи шифрующим маршрутизатором одной из сторон.
Шаг 4. Шифрование и дешифрование данных.
Шаг 5. Завершение сеанса шифрования.
В следующих разделах каждый из этих шагов обсуждается подробнее.
Замечание
Процесс шифрования сетевого уровня описан в руководстве Cisco IOS Security
Configuration Guide, которое можно найти на странице: www.cisco.com/univercd/cc/td/
doc/product/sqftware/iosl20/12cgcr/secur_c/index.htm.
Шаг 1. Планирование процедуры шифрования
Рекомендуется тщательно спланировать реализацию шифрования в сети, чтобы
уменьшить число возможных ошибок конфигурации в маршрутизаторах сторон. Пла-
Планирование охватывает следующее.
• Общее планирование. Определение обших требований, выдвигаемых к шифро-
шифрованию на основе политики защиты.
• Формулировка требований безопасности. Требуется ли шифровать трафик ме-
между подразделениями компании, размещенными, например, в США и Ве-
Великобритании? Формулируемые требования должны соответствовать общей
политике сетевой защиты вашей компании.
• Определение списка приложений, которым требуется шифрование. Трафик, гене-
генерируемый приложениями, может шифроваться на базе портов TCP или UDP.
Например, вам может понадобиться шифрование TCP-пакетов для порта 21.
• Определение алгоритмов шифрования, которые следует использовать. Напри-
Например, какой алгоритм DES должны использовать маршрутизаторы сторон для
шифрования данных?
• Планирование конфигурации узлов. Необходимо определить, какие конкретные
маршрутизаторы и какая информация пакетов потребуют дополнительных на-
настроек. Чтобы система функционировала правильно, конфигурация маршрути-
маршрутизаторов сторон должна быть "зеркальной" (т.е. симметричной) по отношению
друг к другу. Необходимо определить и проверить следующие параметры шиф-
шифрующих маршрутизаторов соответствующих сторон:
• имя каждого маршрутизатора;
• адреса источника для хостов или подсетей, пакеты которых должны шифро-
шифроваться;
470 Часть V. Технология шифрования Cisco

• интерфейсы маршрутизатора, через которые должны пересылаться шифро-
шифрованные пакеты;
• открытые ключи шифрующих маршрутизаторов локальной и удаленной сторон;
• алгоритмы шифрования, которые должны использоваться шифрующими
маршрутизаторами сторон.
На рис. 14.1 показана топология сети и соответствующая инфраструктура компа-
компании XYZ, рассматриваемые в примерах данной главы. Этот рисунок призван помочь
вам понять смысл команд, предлагаемых в примерах.
Маршрутизатор А
Маршрутизатор В
Хост А
Хост В
Администратор
активной стороны
Администратор
пассивной стороны
Рис. 14.1. Топология сети и соответствующая инфраструктура компании XYZ, которым
соответствуют примеры данной главы
Шаг 2. Подготовка маршрутизаторов к выполнению
шифрования
Перед применением шифрования необходимо аутентифицировать маршрутизатор
стороны, с которой локальный марщрутизатор собирается обмениваться шифрованными
данными. На рис. 14.2 показана схема процесса, используемого для подтверждения го-
готовности пары сообщающихся марщрутизаторов к выполнению щифрования.
Процесс, в результате которого подтверждается готовность пары маршрутизаторов
к шифрованию, заключается в следующем.
1. Маршрутизаторы сторон генерируют личный и открытый ключи DSS. Совмест-
Совместное применение открытого ключа маршрутизаторами сторон является частью
процесса аутентификации. Личный ключ используется для подписи сообщений,
пересылаемых в ходе этого процесса, а с помощью открытого ключа принимаю-
принимающий марщрутизатор может проверить подпись, подсоединенную к сообщению.
Личный ключ DSS хранится в секретной части памяти NVRAM (Non-Volatile
Random Access Memory — энергонезависимое ОЗУ) маршрутизатора, содержимое
которой увидеть нельзя. Этот ключ не предназначен для совместного использова-
использования с каким-либо другим устройством. В VIP2 ESA личный ключ хранится в за-
защищенной от вмешательства области ESA. Сохраняемая на сервере TFTP кон-
конфигурация не содержит открытого ключа.
Глава 14. Применение шифрования Cisco
471

Маршрутизатор А
Маршрутизатор В
Хост А
Хост В
1. Создание и сохранение
личных и открытых
ключей DSS
1. Создание и сохранение
личных и открытых
ключей DSS
2. Обмен открытыми ключами DSS ¦
3. Использование голосовой аутентификации
для проверки источника полученных
открытых ключей DSS
Рис. 14.2. Системные администраторы выполняют подготовку маршрутизаторов
к шифрованию, используя голосовую связь
2. Системные администраторы маршрутизаторов сторон должны договориться о по-
политике шифрования и обмена открытыми ключами DSS между маршрутизатора-
маршрутизаторами. Хотя открытые значения DSS не являются секретными, необходимо придер-
придерживаться правил, указанных в п. 3, чтобы гарантировать источник и целостность
полученного открытого ключа.
3. Системный администратор проверяет открытый ключ DSS маршрутизатора вто-
второй стороны посредством устного подтверждения факта обмена (например, по те-
телефону) администратором удаленной стороны. Соответствующий метод верифи-
верификации называется голосовой аутентификацией. Для голосовой аутентификации
требуется, чтобы сетевые администраторы сторон доверяли друг другу и могли
узнать голос друг друга по телефону.
Открытые ключи, полученные от удаленных маршрутизаторов, сохраняются в
списке открытых ключей локального маршрутизатора. Каждый маршрутизатор
может обмениваться шифрованными сообщениями только со сторонами, инфор-
информация о которых имеется в списке открытых ключей.
Замечание
Процедура голосовой аутентификации будет описана в этой главе ниже, подраздел
"Шаг 1. Установка голосового контакта".
Шаг 3. Установка шифрованной связи
Перед тем как маршрутизаторы смогут начать обмен шифрованными данными,
необходимо установить шифрованную связь между ними. Установка сеанса шифро-
шифрованной связи выполняется тогда, когда маршрутизатор обнаруживает IP-пакет, тре-
требующий шифрования, а сеанс шифрованной связи еще не установлен (рис. 14.3).
472
Часть V. Технология шифрования Cisco

Маршрутизатор А
Маршрутизатор В
Хост А
«Г-
А посылает
сообщение
инициализации
соединения
ПУН
Информация
соединения
Подпись
Хост В
В использует
подпись для
аутентификации
стороны А
А использует
подпись для
аутентификации
стороны В
Подпись
Информация
соединения
НИК
В посылает
ответ на
сообщение
инициализации
3.
А посылает
сообщение
подтверждения
соединения
Информация
соединения
Подпись
4.-*¦
Переговоры о 40-битовом или 56-битовом варианте DES
DES
А и В создают общий сеансовый ключ DES
с помощью полученных ранее открытых
значений Диффи-Хеллмана
DES
ж—О
5О-ж
Рис. 14.3. Маршрутизаторы, динамически создающие сеанс шифрованной связи
Процесс установки шифрованной связи выглядит следующим образом.
1. Маршрутизаторы сторон обмениваются сообщениями об установке соединения,
чтобы создать сеанс шифрованной связи. Маршрутизатор А идентифицирует себя
с помощью сообщения инициализации соединения, содержащего число Диффи-
Хеллмана и подпись DSS.
2. Маршрутизатор В посылает в ответ сообщение со своей подписью DSS. Подписи
DSS, посылаемые в сообщениях установки соединения, представляют собой ше-
стнадцатеричные строки, создаваемые каждым маршрутизатором с помощью их
личных ключей DSS. Полученные подписи проверяются маршрутизаторами с по-
помощью соответствующих открытых ключей DSS, обмен которыми происходит
при подготовке маршрутизаторов к шифрованию. Подпись однозначно характе-
характеризует посылающий ее маршрутизатор, поскольку другое устройство фальсифи-
фальсифицировать ее не сможет. Шаги 1 и 2 завершаются либо успешно, либо аварийно.
Если аутентификация сторон завершается успешно, стороны переходят к сле-
следующему шагу; в противном случае сеанс завершается.
3. Маршрутизатор А отправляет сообщение о подтверждении соединения, указы-
указывающее на то, что маршрутизаторы сторон завершили аутентификацию.
4. Маршрутизаторы сторон ведут переговоры относительно алгоритма шифрования
пакетов данных, который будет использоваться в ходе сеанса связи. Можно вы-
выбрать один из двух алгоритмов: 40- или 56-битовый DES. Каждый из этих алго-
Глава 14. Применение шифрования Cisco
473

ритмов шифрования может работать в одном из двух режимов: 8- или 64-битовом
режиме CFB (режим шифрованной обратной связи).
5. Маршрутизаторы генерируют одноразовый ключ DES для использования в ходе
конкретного сеанса. Ключ DES генерируется с помощью алгоритма Диффи-
Хеллмана. Обмен числами Диффи-Хеллмана уже был выполнен в процессе уста-
установки соединения, и теперь эти числа используются для того, чтобы вычислить
общий ключ DES, который будет использоваться сторонами в ходе данного сеан-
сеанса шифрования. Сеанс шифрования теперь установлен, и стороны могут начать
обмен шифрованными данными.
Замечание
Процесс установки соединения и соответствующие возможности выбора алгоритма
шифрования описаны в руководстве Cisco IOS Security Configuration Guide.
Шаг 4. Шифрование и дешифрование данных
После того как маршрутизаторы сторон выполнили взаимную аутентификацию и
создали сеансовый ключ DES, они могут начать обмен шифрованными данными. Вы-
Выбранный алгоритм шифрования DES с сеансовым ключом DES будет использоваться
для шифрования и дешифрования данных. По завершении обмена данными выполня-
выполняется процедура завершения сеанса, как показано на рис. 14.4.
Маршрутизатор А
Маршрутизатор В
Хост А
Хост В
DES
0-х -d
Шифрование
пакета
Ключ DES используется сторонами А и В для шифрования
исходящего трафика IP и дешифрования входящего трафика IP
Дешифрование
пакета
DES
DES
0-ж
По завершении сеанса ключи DES
и Диффи-Хеллмана уничтожаются
Рис. 14.4. Данные шифруются и дешифруются с помощью сеансового ключа DES
Шаг 5. Завершение сеанса шифрования
Сеанс шифрованной связи продолжается до тех пор, пока не будет достигнут пре-
предел времени существования сеанса, если обмен данными не будет завершен до этого.
Соединение обрывается, когда превышено заданное конфигурацией предельное вре-
474
Часть V. Технология шифрования Cisco

мя, а если указанный предел не превышен, то соединение сохраняется даже тогда,
когда данные по соединению не передаются. По достижении предельного времени
ключ сеанса DES и числа Диффи-Хеллмана удаляются.
Если пересылка данных не завершена по достижении предела времени существо-
существования соединения, создается новый сеанс связи. По умолчанию предельное время су-
существования сеанса задается равным 30 минутам. Это значение можно изменить на
любое другое в пределах 24 часов.
Настройка СЕТ
Настройка средств СЕТ может оказаться непростым делом. Для этого требуется ко-
координация между системными администраторами шифрующих маршрутизаторов сооб-
сообщающихся сторон. Ниже перечислены главные задачи, которые нужно решить при на-
настройке СЕТ. Каждая из этих задач будет подробно описана в следующих разделах.
• Задача 1. Создание каждым из маршрутизаторов сторон открытого и секретного
ключей DSS и сохранение их в энергонезависимом ОЗУ (NVRAM).
• Задача 2. Обмен открытыми ключами DSS маршрутизаторами сообщающихся
сторон. Проверка политики шифрования, используемой маршрутизаторами со-
сообщающихся сторон.
• Задача 3. Определение глобальной политики шифрования путем согласования алго-
алгоритмов шифрования, поддерживаемых соответствующими маршрутизаторами.
• Задача 4. Согласование сеансовой политики шифрования путем создания соот-
соответствующих криптографических карт.
• Задача 5. Проверка конфигурации и действия системы шифрования.
Замечание
Некоторые из указанных здесь задач нужно выполнить только в процессе начальной
установки средств шифрования. Обратитесь к материалу следующих разделов, чтобы
выяснить, какие действия необходимы в вашем конкретном случае, а какие — нет.
Прежде чем выполнять настройку средств шифрования в маршрутизаторах, убеди-
убедитесь в том, что связь между устройствами Cisco существует.
Задача 1. Генерирование открытого и личного
ключей DSS
Настройка СЕТ начинается с генерирования шифрующими маршрутизаторами
сторон открытого и личного ключей DSS. Для генерирования пары открытого и лич-
личного ключей DSS маршрутизаторам А и В необходимо выполнить следующие шаги.
Шаг 1. Генерирование пары ключей DSS.
Шаг 2. Сохранение пары ключей в NVRAM.
Шаг 1. Генерирование пары ключей DSS
Пара ключей DSS генерируется и сохраняется маршрутизатором каждой из сторон
с помощью следующей команды Cisco IOS, выполняемой в режиме глобальной кон-
конфигурации.
Глава 14. Применение шифрования Cisco 475

crypto key generate dss имя [слот | rsm | vip]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя Имя, которое присваивается криптографическому модулю (модулю Cisco IOS, VIP2 или
ESA). Допустимыми являются любые строковые символы. Использование соответствующе-
соответствующего доменного имени может упростить задачу распознавания открытых ключей
слот Необязательный параметр, идентифицирующий криптографический модуль. Этот
параметр доступен только на маршрутизаторах Cisco серий 7200, RSP7000 и 7500 с
адаптерами ESA или VIP2. Если слот не указан, выбирается криптографический мо-
модуль Cisco IOS. Используйте номер слота шасси, в который установлен соответст-
соответствующий криптографический модуль.
Для криптографического модуля Cisco IOS это номер слота шасси процессора RSP
(процессора коммутации маршрутов), для криптографического модуля VIP2 - номер
слота VIP2, а для криптографического модуля ESA — номер слота ESA (Cisco 7200)
или VIP2 (Cisco RSP7000 и 7500)
rsm Необязательное ключевое слово, которое доступно только на коммутаторах Cisco се-
серии Catalyst 5000. Идентифицирует модуль коммутации маршрутов (Route Switch
Module) в коммутаторах Cisco серии Catalyst 5000
vip Необязательное ключевое слово, которое доступно только на коммутаторах Cisco се-
серии Catalyst 5000, где оно идентифицирует процессор V1P
Команда crypto key generate dss заменила команду crypto gen-signature-keys в
Cisco IOS версии 12.0.
Вы можете увидеть значения своих открытых ключей с помощью команды show crypto
keyjaypubkey dss. Личные ключи, генерируемые маршрутизаторами, сохраняются в памяти
NVRAM и вообще недоступны. Любой, кто смог бы получить доступ к личному ключу,
может имитировать законного владельца ключа, поэтому специалисты Cisco позаботились
о том, чтобы гарантировать невозможность доступа к личным ключам.
Замечание
Если вы используете маршрутизаторы Cisco серий 7200, RSP7000 или 7500 или ком-
коммутаторы Cisco серии Catalyst 5000 с поддержкой ESA, то в процессе генерирования
ключей DSS для криптографического модуля ESA от вас потребуется ввести пароль.
В примере 14.1 показаны сообщения, которые появляются при генерировании ключей
DSS в маршрутизаторах А и В. Команды этого примера соответствуют схеме, показанной
на рис. 14.1, а используемыми именами ключей являются muterAkey и muterBkey. Крипто-
Криптографические модули обычно при этом тоже имеют имена muterAkey и muterBkey.
Пример 14.1. Генерирование ключей I
routerA(config)#crypto key generate dss routerAkey
Generating DSS keys ....
[OK]
routerB(config)tcrypto key generate dss routerBkey
Generating DSS keys ....
[OK]
476
Часть V. Технология шифрования Cisco

Шаг 2. Сохранение пары ключей в NVRAM
Следующим шагом является сохранение пары ключей каждого маршрутизатора,
использующего криптографический модуль Cisco IOS. Ключи сохраняются в секрет-
секретном блоке памяти NVRAM. При этом необходимо иметь в виду следующее.
• Чтобы сохранить ключи DSS криптографического модуля Cisco IOS в секрет-
секретном блоке памяти NVRAM, нужно выполнить команду copy running-config
startup-config.
• В маршрутизаторах Cisco серий 7200, RSP7000 или 7500 и коммутаторах Cisco серии
Catalyst 5000 с поддержкой ESA ключи DSS, генерируемые для криптографического
модуля ESA, сохраняются автоматически в процессе генерирования ключей. Эти
ключи сохраняются в защищенной от вмешательства памяти ESA.
Удалить пару ключей DSS криптографического модуля можно с помощью команды
crypto key zeroize dss в режиме глобальной конфигурации. После этого ключи DSS
придется сгенерировать снова с помощью команды crypto key generate dss.
Внимание!
После удаления ключи DSS восстановить невозможно. Используйте соответствующую ко-
мвнду очень аккуратно. После удаления ключей DSS, для начала сеанса шифрования не-
необходимо будет снова генерировать ключи DSS и выполнить процедуру их согласования.
Настройка VIP2 ESA для DSS
Перед настройкой VIP2 ESA для согласования ключей DSS и шифрования, необ-
необходимо при установке VIP2 ESA выполнить следующие действия.
1. После подключения платы VIP2 ESA состояние ESA определяется с помощью
следующей команды.
routerjfshow crypto card
2. Если адаптер ESA заперт, разблокируйте его с помощью следующей команды, ко-
которая инициализирует ESA путем снятия аппаратной блокировки, происходящей
тогда, когда адаптер ESA вынимается из разъема шасси и устанавливается снова.
router(config)tcrypto card clear-latch {слог | vip}
3. После снятия блокировки можно генерировать ключи DSS для криптофафического
модуля, как показано в примере 14.1. При первом выполнении команды crypto key
generate dss требуется ввести пароль, что обеспечивает дополнительную защиту ESA.
Следующие шаги иллюстрируют процесс генерирования ключа DSS для крипто-
криптографического модуля VIP2.
1. Ключи DSS для криптографического модуля VIP2 генерируются с помощью сле-
следующей команды.
router(config)itcrypto key generate dss имя [слог | rsm | vip]
После выполнения операции "обнуления" необходимо инициализировать пароль
криптографической платы. Этот пароль понадобится при генерировании новых
ключей подписи и при очистке модуля аппаратной блокировки криптографиче-
криптографической платы. От вас потребуется ввести пароль, как показано ниже.
Глава 14. Применение шифрования Cisco 477

router(config)* crypto key generate dss plr3-vip 2
% Инициализация пароля криптографической платы. Этот пароль
требуется для генерирования новых ключей подписи и для
очистки модуля блокировки криптографической платы.
Password: <пароль>
Re-enter password: <пароль>
Generating DSS keys .... [OK]
2. После каждого ввода пароля криптографической платы необходимо генерировать
новый ключ следующим образом.
plr3(config)t crypto key generate dss plr3-vip 2
% Генерирование новых ключей DSS снова потребует их согласования
сторонами, уже имеющими открытый ключ с именем plr3-vip!
Generate new DSS keys? [yes/no]: yes
% Введите проль криптографической платы.
Password: <пароль>
Generating DSS keys .... [OK]
После генерирования новых ключей DSS необходимо повторное их согласование
сторонами, имеющими открытые ключи, подтвержденные в ходе предыдущего обмена
ключами.
Задача 2. Обмен открытыми ключами DSS
Еще одной задачей администраторов сторон в процессе настройки СЕТ является
обмен открытыми ключами DSS маршрутизаторов, чтобы последние могли иденти-
идентифицировать друг друга. Для проверки того, что полученные сторонами открытые клю-
ключи DSS являются подлинными, используется голосовая связь. Обмен открытыми клю-
ключами DSS выполняется по следующей схеме.
Шаг 1. Установка голосового контакта.
Шаг 2. Разрешение соединения для обмена данными пассивной стороной.
Шаг 3. Установка соединения для обмена данными активной стороной.
Шаг 4. Получение и аутентификация открытого ключа DSS активной стороны.
Шаг 5. Запрос ключа DSS пассивной стороны.
Шаг 6. Отправка ключа DSS пассивной стороной.
Шаг 7. Получение и аутентификация открытого ключа DSS пассивной стороны.
Шаг 8. Согласование политики шифрования и завершение сеанса голосовой связи.
Ниже указанные шаги описаны более подробно. Эти шаги требуют координации
между администраторами маршрутизаторов сообщающихся сторон.
Шаг 1. Установка голосового контакта
Сначала необходимо позвонить администратору маршрутизатора удаленной сторо-
стороны и решить, какой маршрутизатор будет играть роль пассивной стороны, а какой —
активной. Процедура требует, чтобы вы оставались на связи с администратором мар-
маршрутизатора удаленной стороны до тех пор, пока обмен ключами не завершится и
ключи DSS не будут проверены.
478 Часть V. Технология шифрования Cisco

Замечание
Иногда оба маршрутизатора могут быть настроены одним администратором. Если же
маршрутизаторы находятся в разных местах и не контролируются одним человеком,
для управления обменом ключами системные администраторы обеих сторон должны
находиться на своих местах и между ними должна быть установлена голосовая связь.
Именно такой сценарий описывается здесь. Помните о том, что сеть, в которой вы-
выполняется обмен ключами, может прослушиваться и нарушитель может фальсифици-
фальсифицировать ключи и заменить их своими, тем самым скомпрометировав шифрованное со-
соединение еще до того, как оно установлено. Оба системных администратора должны
устно подтвердить "профили" открытых ключей с целью гарантии того, что получен-
полученные ими ключи не были фальсифицированы.
Шаг 2. Разрешение соединения пассивной стороной
Администратор пассивной стороны разрешает соединение для обмена с помощью
следующей команды.
router(config)*crypto key exchange dss passive [tcp-порт]
Необязательный параметр команды имеет следующее значение.
Параметр команды Описание
tcp-порт Программное обеспечение Cisco IOS Software для обмена ключами по умолчанию
использует ТСР-порт 1964. Если система использует порт 1964 для других целей, то
с помощью этого необязательного параметра можно выбрать для обмена ключами
порт с другим номером.
Порт 1964 не является портом, зарезервированным для каких-либо целей в реко-
рекомендациях IETF
Замечание
Если администратор активной стороны по каким-то причинам не может установить со-
соединение, ожидание можно прервать с помощью ввода соответствующего назначен-
назначенного символа перехода (обычно это <Shift+Ctrl+6> с последующим нажатием <Х>).
Команда crypto key exchange dss passive заменила команду crypto key-exchange
passive в Cisco IOS версии 12.0.
Рассмотрим пример 14.2, в котором показана команда администратора пассивной
стороны (маршрутизатор В), разрешающая обмен ключами DSS (см. также рис. 14.1).
Пример 14.2. Разрешение обмена igiiosaMHDSS дрр
?
routerB(config)#crypto key-exchange passive
Шаг З. Установка соединения активной стороной
Администратор активной стороны инициирует создание соединения для обмена и
посылает открытый ключ DSS, используя следующую команду Cisco IOS.
router(config)#crypto key exchange dss ip-адрес имя [tcp-порт]
Глава 14. Применение шифрования Cisco 479

Параметры команды описаны в следующей таблице.
Параметр команды Описание
ip-адрес IP-адрес маршрутизатора второй стороны (участвующей в данном обмене ключами и
играющей роль пассивной)
имя Идентифицирует криптографический модуль. Это значение должно совпадать со зна-
значением параметра имя в команде crypto key generate dss, применяемой при
генерировании ключей DSS
tcp-nopr Программное обеспечение Cisco IOS Software для обмена ключами по умолчанию ис-
использует ТСР-порт 1964. Если система использует порт 1964 для других целей, то с
помощью этого необязательного параметра можно выбрать для обмена ключами порт
с другим номером
При разрешении сеанса обмена данными необходимо учитывать также следующие
моменты.
• Шифрующие маршрутизаторы сторон должны обменяться открытыми ключами
DSS до того, как ими будет открыта шифрованная связь.
• Если с помощью параметра tcp-порт указан конкретный TCP-порт, тот же порт
должен быть указан и пассивной стороной. При использовании маршрутизаторов
Cisco серий 7200, RSP7000 или 7500 необходимо обменяться открытыми ключами
DSS для каждого криптографического модуля, которые планируется использовать.
Если IP-соединение успешно установлено, передача открытого ключа DSS мар-
маршрутизатора активной стороны пассивной стороне происходит автоматически. Поряд-
Порядковый номер и "профиль" открытого ключа DSS активной стороны появляются на
консолях администраторов как активной, так и пассивной стороны. Порядковый но-
номер и "профиль" представляют собой значения, генерируемые на основе значения от-
открытого ключа DSS активной стороны.
Начиная с версии 12.0 программного обеспечения Cisco IOS, вместо команды
crypto key-exchange используется команда crypto key exchange dss.
В примере 14.3 показана команда администратора активной стороны (маршрутиза-
(маршрутизатор А), инициирующая обмен ключами DSS (см. также рис. 14.1).
Пример 14.3. Начало обмена ключами DSS администратором активной
routerA(config)!crypto key exchange dss 10.1.1.2 routerAkey
Получение и аутентификация открытого ключа DSS
активной стороны
Системные администраторы обеих сторон видят порядковый номер и "профиль"
открытого ключа DSS активной стороны. В примере 14.4 показан соответствующий
вывод маршрутизатора А (см. также рис. 14.1). Маршрутизатор В будет генерировать
аналогичный вывод.
Системные администраторы используют голосовую аутентификацию для откры-
открытого ключа активной стороны, полученного маршрутизатором пассивной стороны.
Администратор активной стороны просит администратора пассивной стороны при-
480 Часть V. Технология шифрования Cisco

нять и проверить ключ DSS. Если соответствующие значения для ключа DSS на тер-
терминалах обеих сторон совпадают, администратор пассивной стороны принимает ключ
DSS активной стороны и помещает этот открытый ключ в конфигурацию маршрути-
маршрутизатора, вводя "у" (да) в ответ на соответствующий запрос.
Пример 14.4. Порядковый номер и "профиль" открытого ключа маршру-
> * |^ ;. | тизатора А, используемые для аутентификации в процессе
. ¦' '?*.' - '.-И ^обмена D"SS
Public-key for RouterA:
Serial Number 0514588
Fingerprint EDOB F279 B0C4 152B DB8E
Открытые ключи сторон сохраняются в обычной памяти NVRAM и с помощью
соответствующих порядковых номеров связываются с именами сторон. Ввиду того,
что после ввода команды copy running-config startup-config ключи сохраняются в
конфигурации, необходимости в обмене открытыми ключами не возникает до тех
пор, пока одна из сторон не сгенерирует новую пару ключей DSS.
Шаг 5. Запрос ключа DSS пассивной стороны
К этому моменту на консоли маршрутизатора пассивной стороны появляется за-
запрос к администратору с предложением отправить открытый ключ DSS администра-
администратору активной стороны. Администратор пассивной стороны нажимает <Enter>, чтобы
продолжить процесс. В примере 14.5 показан вывод маршрутизатора В на этом шаге
процесса обмена открытыми ключами DSS.
Пример 14.5. Порядковый номер и "пр^Щль" открытого ключа мар!
нтификацйив
The public-key for routerB is:
Serial Number 05614636
Fingerprint 5698 D554 B55D EED5 741D
Шаг 6. Отправка ключа DSS пассивной стороной
Администратору пассивной стороны предлагается ввести имя открытого ключа.
После ввода имени и нажатия <Enter> открытый ключ DSS посылается администра-
администратору активной стороны.
Шаг 7. Получение и аутентификация открытого ключа DSS
пассивной стороны
Порядковый номер и "профиль" открытого ключа DSS пассивной стороны появ-
появляются на консолях обеих сторон.
Администраторы проверяют ключ DSS маршрутизатора пассивной стороны,
используя метод голосовой аутентификации. Администратор активной стороны
соглашается принять ключ DSS пассивной стороны, вводя "у" в ответ на соответ-
соответствующий запрос.
Глава 14. Применение шифрования Cisco 481

Шаг 8. Согласование политики шифрования и завершение
сеанса голосовой связи
Администраторы проверяют детали политики шифрования, заканчивают сеанс го-
голосовой связи и продолжают настройку средств шифрования.
Пример обмена ключами DSS
Рассмотрим пример обмена ключами DSS между маршрутизаторами А
(маршрутизатор активной стороны) и В (маршрутизатор пассивной стороны). Соот-
Соответствующие команды отвечают описанным выше шагам 2—7 и объединены в не-
несколько групп. Команды вводятся в указанном порядке и согласуются со схемой, по-
показанной на рис. 14.1.
В примере 14.6 администраторы уже идентифицировали друг друга (шаг 1). Они
выполняют шаг 2, разрешающий обмен, а затем и шаг 3, означающий начало обмена.
iMep 34.6. Выполнение администраторами шагов 2 и 3 процесса обме- "
^Ш^^^^^^^^ЙШ
routerB(config)#crypto key exchange dss passive
Enter escape character to abort if connection does not complete.
Wait for connection from peer[confirm]<Return>
Waiting ....
routerA(config)lcrypto key exchange dss 10.1.1.2 routerAJcey
Public key for routerAkey:
Serial Number 05614558
Fingerprint 9C7D 6371 ED4E 9183 F3FE
Wait for peer to send a key[confirm] <Return>
Waiting ....
В примере 14.7 показано выполнение шага 4 процесса обмена ключами DSS.
Маршрутизатор В получает открытый ключ DSS и его "профиль", после чего админи-
администратор пассивной стороны с помощью администратора активной стороны выполняет
аутентификацию ключа и посылает ключ маршрутизатора В маршрутизатору А
router В session: Passive
Public key for routerAkey:
Serial Number 05614558
Fingerprint 9C7D 6371 ED4E 9183 F3FE
Add this public key to the configuration? [yes/no]: yes
Send peer a key in return [confirm] <Return>
Which one?
routerBkey? [yes]: yes
Public key for routerBkey:
482 Часть V. Технология шифрования Cisco

Serial Number 05614636
Fingerprint 649E D4E1 4A78 DEES 2762
routerB(config)!
В примере 14.8 показано выполнение шагов 5-7 процесса обмена ключами DSS.
Администратор маршрутизатора А аутентифицирует "профиль" ключа DSS маршрути-
маршрутизатора В и принимает ключ; оба администратора видят открытые ключи DSS второй
стороны, выполняют шаг 8 и переходят к выполнению задачи 3.
Пример 14.8. Выполнение администраторами шагов 4-7 процесса 66м
routerAJf
Public key for routerBkey:
Serial Number 05614636
Fingerprint 649E D4E1 4A78 DEES 2762
Add this public key to the configuration? [yes/no]: yes
routerA(config)jfexit
routerAJfshow crypto key pubkey-chain dss
Codes: M - Manually configured
Code Usage Serial Number Name
M Signing 05614636 routerBkey
routerB(config)fexit
routerBjfshow crypto key pubkey-chain dss
Codes: M - Manually configured
Code Usage Serial Number Name
M Signing 05614558 routerAkey
Альтернативные методы обмена ключами
С точки зрения конфигурации каждому маршрутизатору необходимо иметь откры-
открытые ключи DSS всех маршрутизаторов, с которыми возможен обмен шифрованными
данными. Описанный выше метод голосовой аутентификации рекомендован Cisco для
обмена открытыми ключами DSS.
Получение ключей DSS маршрутизаторами сообщающихся сторон
Если голосовая аутентификация невозможна, необходимо выбрать иной способ
получения точных значений DSS для каждого криптографического модуля маршрути-
маршрутизатора, включая имя, порядковый номер и ключ DSS (в шестнадцатеричном виде).
Эти значения можно затем ввести в конфигурацию маршрутизатора вручную, исполь-
используя команду crypto key pubkey-chain dss.
Администратор маршрутизатора второй стороны может выполнить команду show
crypto key mypubkey dss в маршрутизаторе, записать выведенные этой командой зна-
Глава 14. Применение шифрования Cisco 483

чения ключа DSS и обменяться соответствующими данными, используя, например,
следующий альтернативный метод защищенного обмена.
• Отправить значения открытого ключа с помощью электронного сообщения,
подписанного по методу PGP (аббревиатура PGP применяется для обозначения
одной из самых популярных систем шифрования прикладного уровня).
• Отправить печатную копию значений открытого ключа в запечатанном конвер-
конверте через надежного курьера.
Установка значений ключей DSS вручную
Можно ввести значения открытых ключей DSS для каждого криптографического
модуля маршрутизаторов сообщающихся сторон вручную с помощью следующих ко-
команд в режиме глобальной конфигурации.
router (config)#crypto key pubkey-chain dss
named-key имя [special-usage]
порядковый-иомер [special-usage]
key-string [hex hex hex ...]
quit
Параметры команд описаны в следующей таблице.
Параметр команды Описание
имя Идентифицирует криптографический модуль шифрующего маршрутизатора. Для мар-
маршрутизатора Cisco это имя должно совпадать с полным доменным именем
special-usage (необязательный) Если этот параметр не указан, ключ считается универсальным
порядковый-иомер Порядковый номер открытого ключа DSS шифрующего маршрутизатора
hex Значение открытого ключа DSS шифрующего маршрутизатора в шестнадцатеричном формате
quit По окончании ввода значения открытого ключа необходимо ввести команду quit, чтобы
выйти из шестнадцатеричного режима ввода
В примере 14.9 показано, как администратор маршрутизатора А вручную устанав-
устанавливает значение ключа DSS.
-ювка открытого ключа DSS вручную
routerA#configure terminal
routerA(config)jfcrypto key pubkey-chain dss
routerA (conf ig-pubkey-chain) f named-key routerBkey
routerA(config-pubkey-key) jfspecial-usage 05614636
routerA(config-pubkey-key)(fkey-string
Enter a public key as a hexidecimal number ....
FFFD0891 7A3C176C 1A83BC49 68B00B24
E5A9700C BA782232 CE719B90 A7D4B3C6
B8E59BB3 D9CAA349 F7F03664 A4188A64
6EEDD7F8 F215EF6B 53F04A05 7E98278B
routerA(config-pubkey-key) jf quit
routerA (conf ig)jf
484 Часть V. Технология шифрования Cisco

Анализируя команды, показанные в примере 14.9, обратите внимание на следую-
следующие моменты.
• В результате ввода команды crypto key pubkey-chain dss открывается интерак-
интерактивный диалоговый режим. Чтобы получить список подкоманд, которые можно
использовать в этом режиме, введите символ ?.
• Команда crypto key pubkey-chain dss заменяет команду crypto public-key.
• Длина открытого ключа DSS достаточно велика. Поэтому рекомендуется ис-
использовать эмулятор терминала (например, HyperTerminal), чтобы скопировать
и вставить значение открытого ключа, если это возможно.
• С помощью команды show crypto key pubkey-chain dss можно проверить пра-
правильность ввода информации о ключе DSS.
Внимание!
Независимо от того, какой метод аутентификации вы выберете, очень важно прове-
проверить источник полученного открытого ключа DSS. Не принимайте и не добавляйте в
конфигурацию открытый ключ DSS, не имея достаточных оснований для того, чтобы
считать источником ключа маршрутизатор соответствующей стороны, иначе ваша
система шифрования может быть скомпрометирована.
Задача 3. Определение глобальной политики
шифрования
Эта задача процесса настройки шифрования состоит в определении алгоритмов шиф-
шифрования DES и ключей DES для шифрования и дешифрования данных. Алгоритмы шиф-
шифрования DES должны выбираться в соответствии с общей политикой сетевой защиты.
Необходимо также глобально разрешить использование всех алгоритмов шифрова-
шифрования DES, которые маршрутизатор может использовать в ходе сеансов шифрования.
Если некоторый алгоритм DES не активизирован глобально, использовать его будет
невозможно. Чтобы установить сеанс шифрования с маршрутизатором другой сторо-
стороны, необходимо разрешить использование по крайней мере одного алгоритма DES,
разрешенного другой стороной. Чтобы система шифрования могла работать, в мар-
маршрутизаторах обеих сторон должен применяться один и тот же алгоритм DES.
Система СЕТ поддерживает следующие четыре типа алгоритмов шифрования DES:
• DES в 8-битовом режиме CFB;
• DES в 64-битовом режиме CFB;
• 40-битовый вариант DES в 8-битовом режиме CFB;
• 40-битовый вариант DES в 64-битовом режиме CFB.
40-битовые варианты DES с 40-битовыми ключами легче раскрыть нарушителю,
чем основные варианты DES с 56-битовыми ключами DES. Однако экспортные зако-
законы могут требовать, чтобы поставляемые на экспорт приложения использовали 40-
битовый вариант DES. 8-битовый режим CFB более популярен, чем 64-битовый, но
его использование требует больше процессорных ресурсов. Могут существовать и
другие условия, при которых может потребоваться применение алгоритма DES како-
какого-то определенного типа.
Глава 14. Применение шифрования Cisco 485

Чтобы выяснить, допускается ли экспорт образа вашего программного обеспече-
обеспечения, используйте команду show crypto cisco algorithms, с помощью которой можно
определить, какие алгоритмы DES активизированы в настоящий момент.
Для решения задачи определения глобальной политики шифрования необходимо
выполнить следующие действия.
Шаг 1. Настроить параметры глобальной политики шифрования.
Шаг 2. Согласовать детали политики шифрования.
Шаг1. Настройка параметров глобальной политики
шифрования
Этот шаг заключается в разрешении применения одного или нескольких алгорит-
алгоритмов DES с опциями, которые могут использоваться при согласовании политики шиф-
шифрования каждого конкретного сеанса. Алгоритмы шифрования с соответствующими
параметрами могут быть описаны в рамках СЕТ с помощью следующих команд, вы-
выполняемых в режиме глобальной конфигурации.
crypto cisco algorithm des [cfb-8 | cfb-64]
crypto cisco algorithm 40-bit-des [cfb-8 | cfb-64]
Параметры команд описаны в следующей таблице.
Параметр команды Описание
des Глобально активизирует 56-битовый алгоритм DES. Этот метод шифрования использу-
используется по умолчанию, если не указан параметр 40-bit-des
4 0 -bit-des Глобально активизирует 40-битовый алгоритм DES
cfb-8 (необязательный) Определяет применение 8-битового режима CFB для указанного ал-
алгоритма DES. При отсутствии указаний относительно режима CFB, по умолчанию ис-
используется 64-битовый режим
cfb-64 (необязательный) Определяет применение 64-битового режима CFB для указанного
40-битового алгоритма DES. При отсутствии указаний относительно режима CFB, по
умолчанию используется 64-битовый режим
guit Используется по завершении ввода открытого ключа для выхода из шестнадцатерич-
ного режима ввода
Обратите внимание на следующие правила настройки.
• Если выполняется неэкспортируемый образ, по умолчанию используется ос-
основной алгоритм DES (с 56-битовым ключом) в 8-битовом режиме CFB.
• Если выполняется экспортируемый образ, то по умолчанию используется 40-
битовый алгоритм DES в 8-битовом режиме CFB.
• 8-битовый режим CFB применяется чаще, чем 64-битовый, но он требует
больших затрат процессорного времени. Если режим явно не указан, то по
умолчанию используется 64-битовый режим CFB.
• Чтобы выяснить, какие алгоритмы DES активизированы в данный момент, ис-
используйте команду show crypto cisco algorithms.
В примере 14.10 показано, как можно реализовать глобальную политику шифрова-
шифрования в маршрутизаторах двух сторон.
486 Часть V. Технология шифрования Cisco

routerA(config)jfcrypto cisco algorithm des cfb-8
routerA(config)jfcrypto cisco algorithm 40-bit-des cfb-8
routerB (conf ig) ifcrypto cisco algorithm des cfb-8
routerB(config)jfcrypto cisco algorithm des cfb-64
routerB (config) if crypto cisco algorithm 40-bit-des cfb-8
Следует обратить внимание на следующие моменты.
• Необходимо глобально активизировать все алгоритмы DES, которые будут ис-
использоваться в криптографических картах для связи с другими шифрующими
маршрутизаторами.
• Глобальная активизация конкретного типа алгоритма DES разрешает его ис-
использование всеми криптографическими модулями маршрутизатора.
• Чтобы сеанс шифрования мог состояться, соответствующие алгоритмы DES
должны быть разрешены к использованию в маршрутизаторах обеих сторон.
• Команда show crypto cisco algorithms выводит список глобальных алгоритмов
шифрования, активизированных в маршрутизаторе в данный момент.
Шаг 2. Согласование деталей политики шифрования
В режиме голосовой связи администраторы маршрутизаторов сообщающихся сто-
сторон должны согласовать детали политики шифрования. Соответствующая информа-
информация должна быть подготовлена еще на стадии планирования. Рекомендуется согласо-
согласовать следующие данные, чтобы минимизировать вероятность ошибок конфигурации:
• имя маршрутизатора стороны, с которой будет установлена шифрованная связь;
• глобальная политика шифрования, которую планируется использовать;
• IP-адреса хостов, которые будут шифровать пакеты;
• типы пакетов, которые будут шифроваться.
В табл. 14.2 представлены элементы политики шифрования для маршрутизаторов и
шифрующих хостов в сети компании XYZ. Соответствующие настройки иллюстриру-
иллюстрируются примерами, представленными в следующих разделах.
Параметр
Значение для маршрутизатора А Значение для маршрутизатора В
Имя маршрутизатора второй routerB
стороны
Политика шифрования des cfb-8
IP-адрес защищаемого хоста 10.1.2.0
Тип трафика, подлежащего TCP
шифрованию
routerA
des cfb-8
10.1.3.2
TCP
Глава 14. Применение шифрования Cisco
487

Задача 4. Согласование сеансовой политики
шифрования
Еще одной важной задачей настройки СЕТ является согласование сеансовой поли-
политики шифрования. На этом этапе вы сообщаете маршрутизатору, какие интерфейсы
должны шифровать или дешифровать данные, какие пакеты IP в рамках этих интер-
интерфейсов должны шифроваться или дешифроваться и какой алгоритм шифрования DES
следует при этом использовать. Чтобы решить указанную задачу, необходимо выпол-
выполнить следующие действия.
Шаг 1. Настроить списки доступа, в которых указано, какие хосты и какие типы па-
пакетов должны шифроваться.
Шаг 2. Настроить криптографические карты для поддержки выбранной политики
шифрования.
Шаг 3. Применить криптографические карты к интерфейсам, в рамках которых будет
выполняться шифрование.
Шаг 1. Настройка списков шифрованного доступа
Чтобы определить, какие пакеты должны шифроваться, используются расширен-
расширенные списки доступа IP. Эти списки доступа функционируют так же, как списки исхо-
исходящего доступа. Соответствующая команда имеет следующий синтаксис.
access-list номер-списка-доступа {deny | permit} протокол источник
групповой-адрес-источиика получатель групповой-адрес-получатепя
Обратитесь к приложению В, "Настройка стандартных и расширенных списков
доступа", чтобы получить более подробную информацию о том, как настроить такие
списки. При настройке списков доступа для шифрования используются следующие
соглашения:
• команда permit дает указание маршрутизатору шифровать пакеты;
• параметры источник и получатель задают адреса подсетей или хостов;
• можно указать порты TCP или UDP источника и получателя;
• когда маршрутизатор получает шифрованные пакеты в ответ, он использует тот
же список доступа, просматривая адреса источника и получателя в обратном
порядке, чтобы определить, какие входящие пакеты необходимо дешифровать;
• списки шифрованного доступа применяются к интерфейсу, как списки исхо-
исходящего доступа;
• маршрутизаторы сторон должны иметь списки доступа, которые являются зер-
зеркальными отражениями друг друга;
• более подробная информация относительно использования команд расширен-
расширенных списков доступа IP для шифрования содержится в руководствах Cisco IOS
Security Configuration Guide и Cisco IOS Security Command Reference.
В примере 14.11 показано, как настроить списки шифрованного доступа в сети
компании XYZ в соответствии с требованиями политики защиты.
488 • Часть V. Технология шифрования Cisco

Пример 14.11. НастройкасЩ^ШдосШа для маршрутизаторов А и В
routerA(config)Jfaccess-list 101 permit tcp 10.1.2.0 0.0.0.255 host 10.1.3.2
routerB(config)¦access-list 110 permit tcp host 10.1.3.2 0.0.0.255
10.1.2.0 0.0.0.255
В этом примере следует отметить следующие моменты (соответствующая политика
защиты представлена в табл. 14.2).
• Маршрутизатор А шифрует весь трафик TCP от сети 10.1.2.0 к хосту 10.1.3.2.
• Маршрутизатор В шифрует весь трафик TCP от хоста 10.1.3.2 к сети 10.1.2.0.
• Списки доступа маршрутизаторов являются зеркальными отражениями друг друга.
Замечание
Хотя синтаксис команд расширенного списка доступа IP для шифрования остается преж-
прежним, значение параметров все же отличается: permit означает, что соответствующие паке-
пакеты должны шифроваться, a deny означает, что пакеты шифроваться не должны.
Шаг 2. Определение криптографических карт
Криптографические карты задают и контролируют политику шифрования каждого
сеанса. Маршрутизатор Cisco шифрует исходящие пакеты и дешифрует входящие па-
пакеты только определенного интерфейса.
Криптографические карты связывают указанные в списке доступа критерии выбо-
выбора трафика с маршрутизаторами сообщающихся сторон и алгоритмами DES. Команда
crypto шар определяет сеансовую политику. Чтобы определить криптографическую
карту, выполните следующие действия.
1. Определите криптографическую карту и войдите в режим ее конфигурации,
router(config)Jcrypto map имя-карты иомер-поспедовательиости [cisco]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя-карты Имя, которое присваивается криптографической карте
номер-последовательности Номер последовательности в криптографической карте, обозначающей ин-
индивидуальный блок в рамках данной криптографической карты. Определяет
набор операторов, соответствующий указанному номеру в рамках данной
криптографической карты. Каждый такой набор описывает отдельное шиф-
шифрованное соединение, т.е. определяет, какие пакеты следует шифровать и
какую политику шифрования к ним применять. Если номер последовательно-
последовательности не указан, по умолчанию присваивается значение 10
cisco Значение, принимаемое по умолчанию и указывающее на то, что крип-
криптографическая карта используется средствами СЕТ, а не IPSec
2. В режиме конфигурации криптографической карты укажите имя маршрутизатора
удаленной стороны.
routerA(config-crypto map)jfset peer имя
Глава 14. Применение шифрования Cisco 489

Значение параметра имя задает имя криптографического модуля маршрутизатора
удаленной стороны.
Замечание
Рекомендуется всегда указывать номер последовательности, в противном случае
маршрутизатор присвоит свой (по умолчанию это будет 10). При добавлении записи к
ранее определенной криптографической карте, необходимо указывать как имя крипто-
криптографической карты, так и номер последовательности. Если номер последовательно-
последовательности не указать, маршрутизатор интерпретирует это как намерение создать в крипто-
криптографической карте с указанной меткой новую последовательность с новым порядко-
порядковым номером. При добавлении в криптографическую карту записи с новым номером
последовательности создается новая последовательность криптофафическои карты.
Это можно использовать тогда, когда необходимо шифровать трафик, направляемый
нескольким адресатам через один интерфейс незащищенной сети.
3. В режиме конфигурации криптографической карты укажите алгоритмы шифро-
шифрования, которые могут использоваться маршрутизатором в процессе согласования,
router(config-crypto map)jfset algorithm des [cfb-8 | cfb-64]
router(config-crypto map)jfset algorithm 40-bit-des [cfb-8 | cfb-64]
Здесь можно указать любые алгоритмы шифрования из тех, которые были акти-
активизированы на глобальном уровне. Если алгоритма шифрования нет в глобаль-
глобальном списке, его не разрешается указывать в криптографической карте. Во время
переговоров сторон алгоритмы будут обсуждаться в том порядке, в котором они
указаны в данном списке команд.
4. Каждой последовательности криптографической карты присвойте один список
доступа.
router(config-crypto map)jfmatch address список-доступа
Оператор match используется для описания пакетов, покидающих интерфейс. Па-
Параметр список-доступа указывает список доступа, применяемый к криптографиче-
криптографической карте. Если в криптографической карте имеется несколько криптографиче-
криптографических последовательностей, на совпадение будет проверена каждая из них. При
совпадении применяются операторы set (см. п. 3), определенные в рамках соот-
соответствующей последовательности.
5. Свяжите криптографическую карту с интерфейсом маршрутизатора,
router(config)jfinterface тип слот/порт
router (config-if )#crypto map имя-карты
Параметр имя-карты указывает, какая криптографическая карта применяется к ин-
интерфейсу.
Замечание
Сеанс шифрования между шифрующими маршрутизаторами сторон открыть не уда-
удастся, если политика шифрования маршрутизаторов будет несовместимой (по многим
параметрам требуется даже идентичность политики). Например, стороны должны до-
договориться об одном и том же алгоритме шифрования для конкретного сеанса.
490 Часть V. Технология шифрования Cisco

В примерах 14.12 и 14.13 показано, как настроить криптографические карты и
применить их к интерфейсам маршрутизаторов А и В. В примере 14.12 показаны ко-
команды для маршрутизатора А.
routerA(config)#crypto шар routerAmap 10 cisco
routerA(config-crypto~map)#set peer routerBkey
routerA(config-crypto-map)#match address 101
routerA(config-crypto-map)lset algorithm des
routerA( config-crypto-map)J exit
routerA(config)#interface serial 0
routerA(config-if)#crypto map routerAmap
router A (conf ig-if )VZ
routerAjconfigure terminal
routerA(config)jfaccess-list 101 permit tcp 10.1.2.0 0.0.0.255
host 10.1.3.2
Обратите внимание на следующие моменты, касающиеся маршрутизатора А:
• именем криптографической карты является routerAmap;
• используется криптографический алгоритм des cfb-8;
• именем маршрутизатора удаленной стороны является routerBkey,
• трафик, который должен быть шифрованным, определяется списком доступа 101;
• криптографическая карта routerAmap применяется к интерфейсу serial 0.
В примере 14.13 показаны команды для маршрутизатора В.
routerB(config)! crypto шар routerBmap 10 cisco
routerB(config-crypto-map)#set peer routerAXey
routerB{ conf ig-crypto-map) f match address 110
routerB(config-crypto-map)#set algorithm des
routerB(config-crypto-map)f exit
routerB(config)jfinterface serial 0
routerB( conf ig-if )jf crypto map routerBmap
route rB {config-if )#*Z
routerBjfconfigure terminal
routerB(config)faccess-list 110 permit tcp host 10.1.3.2 0.0.0.255
10.1.2.0 0.0.0.255
Обратите внимание на следующие моменты, касающиеся маршрутизатора В:
• именем криптографической карты является routerBmap;
• используется криптографический алгоритм des cfb-8;
• именем маршрутизатора удаленной стороны является routerAkey,
Глава 14. Применение шифрования Cisco 491

• трафик, который должен быть шифрованным, определяется списком доступа 110;
• криптографическая карта routerBmap применяется к интерфейсу serial 0.
Дополнительные команды шифрования
Можно использовать две дополнительные команды, определяющие сеансовую полити-
политику шифрования: crypto cisco key-timeout шшугы и crypto cisco pregen-dh-pairs число
[cnor\rsm\ vip]. Параметр число определяет, сколько открытых значений DH следует сгене-
сгенерировать заранее и хранить в резерве; допустимыми являются значения от 0 до 10.
Контроль длительности сеансов шифрования
Команда crypto key-timeout позволяет установить предел времени существования
криптографических ключей. Сеансовые ключи действительны только в течение времени,
установленного администратором. Когда время существования ключей истекает, програм-
программа установки соединения требует повторной аутентификации сторон и определения но-
нового сеансового ключа. Соответствующая команда имеет следующий синтаксис.
crypto key-timeout минуты
Принимаемое по умолчанию значение предела равно 30 минутам. Допустимыми
являются значения от 1 до 1400 (последнее соответствует 24 часам).
Замечание
При выборе слишком маленького значения для предела времени может снизиться про-
производительность маршрутизатора, поскольку в ходе обмена сеансовыми ключами по-
поступающие пакеты не принимаются. Вычисление ключей в процессе обмена Диффи-
Хеллмана может занять несколько секунд, в течение которых пакеты будут отвергнуты.
Предварительное генерирование значений Диффи-Хеллмана
Для предварительного генерирования значений Диффи-Хеллмана используется
команда crypto pregen-dh-pairs. Аутентификация и установка соединения могут за-
занимать много времени в медленных конечных маршрутизаторах, что обусловлено ис-
использованием технологии открытых ключей. Чтобы ускорить процесс создания соеди-
соединения, открытые значения Диффи-Хеллмана можно сгенерировать заранее, чтобы не
возникало задержек, когда эти значения потребуются. В конфигурации можно ука-
указать, сколько пар значений Диффи-Хеллмана следует вычислить сразу. Вскоре после
того, как одна пара используется для соединения, генерируется другая пара, так что
указывать более двух пар обычно не требуется. По умолчанию предварительно не ге-
генерируется ни одной пары. Соответствующая команда имеет следующий синтаксис:
crypto pregen-dh-pairs слот
На маршрутизаторах Cisco серий 7500 и 7200 с дополнительными разъемами шасси
параметр слот можно использовать для того, чтобы указать, какой криптографический
модуль должен заранее генерировать пары ключей Диффи-Хеллмана. Если слот шасси
не указан, то будет использоваться главный процессор.
Изменение ограничений списка шифрованного доступа
По умолчанию максимальное число различных источников (хостов или подсетей) в
списке шифрованного доступа не может превышать 100. Максимальное число адреса-
492 Часть V. Технология шифрования Cisco

тов, которые разрешается определить для любого источника, равно 10. Можно изме-
изменить максимальное число источников (хостов или подсетей), задаваемых в операторах
списка шифрованного доступа. Для этого используется следующая команда, приме-
применяемая в режиме глобальной конфигурации.
crypto cisco entities число
Параметр команды представлен в следующей таблице.
Параметр команды Описание
число Задает максимальное число источников. Используйте значения от 3 до 500
Кроме того, можно изменить максимальное число адресатов (хостов или подсетей),
которые задаются в операторах списка шифрованного доступа. Для этого используется
следующая команда, применяемая в режиме глобальной конфигурации.
crypto cisco connections число
Параметр команды представлен в следующей таблице.
Параметр команды Описание
число Задает максимальное число адресатов для каждого источника. Используйте значения
от 3 до 500
Задача 5. Проверка конфигурации и действия
системы шифрования
Программное обеспечение Cisco IOS предлагает широкие возможности для про-
проверки корректности настроек средств шифрования. В этом разделе рассматриваются
команды, используемые для проверки действия средств шифрования и корректности
их конфигурации.
Проверка конфигурации
Если необходимо проверить работоспособность конфигурации средств шифрова-
шифрования между сообщающимися сторонами, с помощью следующей команды можно ини-
инициировать начало сеанса вручную.
test crypto initiate-session ip-адрес-источн ip-адрес-получ имя-карты порядк-номер
Параметры команды описаны в следующей таблице.
Параметр команды Описание
ip-адрес-источн IP-адрес хоста источника. Должен быть определен в списке шифрованного доступа как
допустимый IP-адрес источника
ip-адрес-получ IP-адрес хоста получателя. Должен быть определен в списке шифрованного доступа
как допустимый IP-адрес получателя
иыя-карты Имя используемой криптографической карты
порядк-номер Номер последовательности криптографической карты
Кроме того, обратите внимание на следующие моменты.
Глава 14. Применение шифрования Cisco 493

• Сеанс шифрования будет создан только в том случае, если определены крип-
криптографические карты, сгенерированы ключи DSS и произошел обмен открыты-
открытыми ключами.
• После ввода указанной выше команды используйте команду show crypto cisco
connections, чтобы проверить состояние только что созданного соединения.
Замечание
С помощью команды test crypto initiate-session проверяется возможность установки
сеанса. Чтобы убедиться в том, что шифруются соответствующие пакеты, после ввода
этой команды воспользуйтесь командой show crypto engine connections active.
В примере 14.14 показан вариант применения команды для проверки шифрования.
Маршрутизатор А устанавливает тестовый сеанс шифрования с маршрутизатором В.
routerAttest crypto initiate-session 10.1.1.1 10.1.1.2 routerAmap 10
Sending Crypto Connection Message to: 10.1.1.2 from: 10.1.1.1.
Connection id: -1
Обратите внимание на то, что значение id оказывается равным -1. Отрицательное
значение соответствует установке соединения.
Очистка шифрованного соединения
Если поведение шифрованного соединения не соответствует запланированному,
можно очистить соединение вручную с помощью следующей команды.
clear crypto connection id-соединения [слог]
Значение параметра id-соединения определяется с помощью команды show crypto
cisco connections, описанной ниже в табл. 14.4.
Проверка шифрования
Для вывода различной информации о конфигурации шифрования применяются
команды show. Чтобы проверить параметры состояния криптографического модуля
маршрутизатора, используйте команды, представленные в табл. 14.3.
Команда
Описание
show crypto engine brief
show crypto engine
configuration
Отображает конфигурацию всех криптографических модулей в маршрутиза-
маршрутизаторе Cisco (серий 7200, RSP7000 или 7500)
Отображает конфигурацию всех криптографических модулей маршрутиза-
маршрутизатора Cisco
Команды, перечисленные в табл. 14.4, можно использовать для того, чтобы выяс-
выяснить параметры шифрованных соединений локального маршрутизатора.
494
Часть V. Технология шифрования Cisco

14.4. Команды show для проверки шйф
Команда
Описание
show crypto cisco connections Отображает состояние действительных и незавершенных шифро-
шифрованных соединений. Эта команда заменяет команду show
crypto connections, используемую в Cisco I0S версии 11.2
show crypto engine connections active Отображает информацию об активных в данный момент се-
сеансах шифрованных соединений для всех криптографических
модулей маршрутизатора
Примеры проверки шифрования
В этом разделе предлагается несколько примеров проверки действия шифрования. В
примере 14.15 показаны активные соединения криптографического модуля, соответствую-
соответствующие сеансу, установленному ранее с помощью команды test crypto initiate-session.
router#show crypto engine connections active
Connection Interface IP-Address State Algorithm Encrypt Decrypt
1 EthernetO 10.1.1.1 set DES 56 CFB64 0 0
Поля команды имеют следующие значения.
Поле
Описание
Connection Идентифицирует соединение с помощью соответствующего номера. Каждое активное шиф-
шифрованное соединение идентифицируется положительным числом от 1 до 299. Номера соеди-
соединений соответствуют номерам записей соответствующей таблицы
Interface Идентифицирует локальный интерфейс, с которым связано шифрованное соединение. Указы-
Указывает только реальный интерфейс, даже если для соединения в рамках реального интерфейса
определен и используется субинтерфейс
IP-Address IP-адрес интерфейса. Если для соединения используется субинтерфейс, это поле имеет зна-
значение "unassigned" (не задан)
State Значение "set" (установлено) соответствует активному соединению
Algorithm Определяет алгоритм DES, используемый для шифрования/дешифрования пакетов
Encrypt Общее число шифрованных исходящих пакетов IP
Decrypt Общее число дешифрованных входящих пакетов IP
В примере 14.16 показаны текущие шифрованные соединения, соответствующие
сеансу, установленному ранее с помощью команды test crypto initiate-session.
Пример 14.16. Проверка соединений
_j ¦'-»?.-¦.«.у . У.-а&й-,.,. .--Ди,. ¦¦„¦•т.. и-ЯжеюЬьяр-ъ
router*show crypto cisco connections
Connection Table
PE UPE Conn_id New_id Alg Time
10.1.1.1 10.1.1.2 1 0 DES_56 CFB64 Feb 29 2000 23:41:11
flags:TIME KEYS
Глава 14. Применение шифрования Cisco
495

Поля команды имеют следующие значения.
Поле Описание
ре Защищенный объект. IP-адрес источника, который должен соответствовать допустимым адресам источни-
источника в списке шифрованного доступа криптографической карты, применяемом для данного соединения
UPE Незащищенный объект. Указывает IP-адрес получателя, который должен соответствовать допусти-
допустимым адресам получателя в списке шифрованного доступа криптографической карты, применяемом
для данного соединения
Conn_id Число, используемое для идентификации и контроля соединения. Может быть положительным це-
целым значением от 1 до 299 или любым отрицательным целым значением. Идентификатор устанав-
устанавливаемого (незавершенного) соединения получает отрицательное значение, а по завершении уста-
установки соединения его идентификатору присваивается положительное значение
New_id Идентификационный номер соединения, присваиваемый соединению по завершении установки.
Может принимать значения от 0 до 299.
Если значение New_id равно 0, незавершенных соединений нет. Если значение New_id является
положительным, какое-то соединение ожидает завершения установки.
Как только установка соединения завершается, значение New_id перемещается в поле Conn_id
для установленного соединения, a New id снова становится равным О
Alg Указывает алгоритм шифрования DES, используемый для текущего соединения
Time Указывает время инициализации соединения
flags Сообщает дополнительную информацию о состоянии соединения.
• PEND_CONN идентифицирует незавершенное соединение.
• XCHG KEYS означает, что соединение превысило предел времени. Чтобы снова установить шиф-
шифрованную связь, маршрутизатор должен опять выполнить обмен числами Диффи-Хеллмана и
создать новый сеансовый ключ (DES).
• TIME_KEYS означает, что сеанс шифрованной связи в настоящий момент активен (ключ сеанса
установлен и отсчитывается время существования сеанса).
• BAD_CONN означает, что для данной записи таблицы нет существующих или не завершивших ус-
установку соединений.
• ONK STATUS означает недопустимое состояние (ошибку) или невозможность определить состоя-
состояние соединения
Просмотр сохраненных открытых ключей DSS
Открытые ключи сторон, с которыми возможен обмен данными, могут быть про-
просмотрены любым пользователем, поскольку эта информация не является секретной.
Следующая команда допускает несколько вариантов отображения информации об от-
открытых ключах,
show crypto key pubkey-chain dss [паше имя | serial порядк-номер]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя Имя, присвоенное открытому ключу DSS при его создании с помощью команды
crypto key pubkey-chain dss
порядк-нонер Порядковый номер открытого ключа DSS шифрующего маршрутизатора
496 Часть V. Технология шифрования Cisco

Команда show crypto key pubkey-chain dss заменяет команды show crypto pubkey,
show crypto pubkey паше и show crypto pubkey serial.
Пример вывода информации об открытых ключах DSS
В примере 14.17 показаны два варианта вывода информации об открытых ключах
DSS в маршрутизаторе А — краткий и подробный.
Пг
Пример 14.17. Про^отрикформацииГ^%Цр^|||э1х ключах PSS
,, .' в маршрутизаторе А *"*
routerAtshow crypto key pubkey-chain dss
Codes: M - Manually configured
Code usage Serial Number Name
M Signing 05614636 routerBkey
routerA#show crypto key pubkey-chain dss name routerBkey
Key name: routerBkey
Serial number: 05614636
Usage: Signature Key
Source: Manually entered
Data:
F03C3B12 A3282C5A 81AF0512 CDBCF6E1 508A76AE 3640D019 AFF6EB65 35349453
6933FEDD 4991856B 565FB494 30401D5E E7D10AE1 34EBEA81 612E6D24 03F2A525
В примере 14.18 показаны варианты вывода информации об открытых ключах DSS
в маршрутизаторе В.
routerBtshow crypto key pubkey-chain dss
Codes: M - Manually configured
Code usage Serial Number Name
M Signing 05614558 routerAkey
routerB#show crypto key pubkey-chain dss name routerAkey
Key name: routerAkey
Serial number: 05614558
Usage: Signature Key
Source: Manually entered
Data:
F4D16300 CAD4C1EF 1454A194 42CD4D4A D1C1C931 F6C1FA30 24C46E21 D4BCEAB9
646A9A18 0A2831F8 674E48A1 FD399363 B5A36DB2 9CDE7FCC 9C7CFA14 B332E820
Глава 14. Применение шифрования Cisco
497

Проверка параметров политики шифрования локального
маршрутизатора
С помощью команды, показанной в табл. 14.5, можно увидеть открытые ключи
DSS локального маршрутизатора для всех его криптографических модулей.
show, отображающая информацию об открытых
Команда
Описание
show crypto key mypubkey dss
Отображает в шестнадцатеричной форме значения всех открытых ключей
DSS для всех криптографических модулей маршрутизатора. Заменяет
команду show crypto mypubkey
Команды, представленные в табл. 14.6, отображают информацию о каждой криптогра-
криптографической последовательности криптографической карты, а также идентификатор соедине-
соединения, связанного с такой последовательностью. Кроме того, эти команды показывают ста-
статистическую информацию, а также значения защищенных и незащищенных объектов.
show crypto map
show crypto map
interface интерфейс
show crypto map tag
нмя-карты
show crypto cisco
algorithms
show crypto cisco
pregen-dh-pairs
show crypto cisco
key-timeout
Показывает конфигурацию криптографической карты
Показывает часть криптографической карты, применяемую к указанному интерфейсу
Показывает часть криптографической карты с указанным именем (имя-карты),
включая все последовательности
Показывает типы алгоритма DES, глобально разрешенные для маршрутизатора.
Заменяет команду show crypto algorithms. (Чтобы увидеть, какие алгоритмы
DES определены для конкретных криптографических карт, используйте команду
show running-config.)
Показывает, сколько пар Диффи-Хеллмана сгенерировано и готово к применению
Отображает текущие установки для длительности шифрованных сеансов. Заменяет
команду show crypto key-timeout
Отключение шифрования
Чтобы отказаться от шифрования, отключите средства шифрования для интерфей-
интерфейса или для всего маршрутизатора, руководствуясь следующими принципами.
• Чтобы отключить шифрование для всех интерфейсов, управляемых одним
криптографическим модулем, удалите ключи DSS для этого криптографиче-
криптографического модуля с помощью команды crypto key zeroize dss (описание команды
приводится в этом же разделе ниже).
• Чтобы отключить шифрование для конкретных интерфейсов, удалите крипто-
криптографические карты с этих интерфейсов, применив команду no crypto map.
498
Часть V. Технология шифрования Cisco

• Чтобы отключить шифрование для маршрутизатора полностью, удалите ключи
DSS для всех криптографических модулей маршрутизатора с помощью команды
crypto key zeroize dss.
Удаление ключей DSS очищает конфигурацию шифрования для криптографиче-
криптографического модуля. Это рекомендуется сделать, чтобы уменьшить риск нарушения защиты,
поскольку при этом гарантируется невозможность злонамеренного использования
ключей нарушителем в случае доступа к маршрутизатору или ESA.
После удаления ключей DSS для криптографического модуля вы не сможете вы-
выполнять шифрование на интерфейсах, управляемых соответствующим криптографиче-
криптографическим модулем.
Внимание!
Ключи DSS после удаления восстановить нельзя. Удаляйте ключи DSS только после
всестороннего рассмотрения этого вопроса.
Чтобы удалить ключи DSS, используйте следующую команду,
crypto key zeroize dss [слот]
Значение параметра слот требуется только для маршрутизаторов Cisco серий
7200 и 7500.
Диагностика и отладка СЕТ
В этом разделе обсуждаются команды show и debug, которые оказываются полез-
полезными при диагностике и решении проблем функционирования системы шифрования.
Если необходимо проверить состояние соединения, можно использовать команды
show crypto cisco connections, show crypto map и show crypto engine connections
active, которые позволяют выяснить состояние шифрованных соединений и крипто-
криптографических карт.
Ниже приводятся описания некоторых типичных проблем и вариантов их решения.
• Если соединение устанавливается впервые, программное обеспечение Cisco IOS
Software присваивает идентификатору соединения отрицательное значение, оз-
означающее незавершенность установки. Это значение используется временно —
после завершения процесса установки идентификатору соединения будет при-
присвоено положительное значение. Установка соединения завершается успешно,
если оба маршрутизатора присвоят данному соединению положительные значе-
значения идентификатора. Проверить значение идентификатора соединения можно с
помощью команды show crypto connections.
• Если установка соединения завершена, проверьте состояние криптографиче-
криптографической карты с помощью команды show crypto map. Если в ней указано положи-
положительное значение идентификатора соединения, она также подготовлена к шиф-
шифрованию пакетов.
• Шифрование не будет разрешено до тех пор, пока не будет сгенерирован по
крайней мере один набор ключей DSS с помощью команды crypto key
generate dss. Если криптографическая карта, связанная с интерфейсом, оказы-
оказывается неполной или шифрование не активизировано, трафик через этот ин-
Глава 14. Применение шифрования Cisco 499

терфейс не пройдет. На консоли появится сообщение об ошибке и при разме-
размещении криптографической карты, и при сравнении параметров прибывающих
пакетов с ее условиями.
Команды отладки
Команды отладки предназначены для трассировки пакетов и выявления событий,
связанных с криптографическими модулями и подсистемой шифрования. Эти коман-
команды приведены в табл. 14.7.
Таблица 14.7. Команды debug для СЕТ >¦-••..•;.., \ - /• >. J. "¦' .':- \
Команда Описание
debug crypto Активизирует вывод сообщений отладки при обмене открытыми ключами DSS.
key-exchange Если процесс обмена открытыми ключами DSS с маршрутизатором второй стороны с
помощью команды config crypto key-exchange оказывается неудачным, попро-
попробуйте обменяться открытыми ключами DSS снова после ввода команды debug crypto
key-exchange, что поможет выяснить, в чем заключается проблема
debug key-exchange Активизирует вывод сообщений обмена ключами Диффи-Хеллмана
debug crypto sesmgmt Активизирует вывод сообщений установки соединения и информации о их движе-
движении через локальный маршрутизатор.
Если шифрованные соединения остаются незавершенными, используйте команду
debug crypto sesmgnt, чтобы выяснить причину проблемы, контролируя про-
процесс установки соединения
Замечание
Активизация возможностей отладки сильно снижает производительность маршрутизатора.
Примеры вывода команды debug crypto sesmgmt
Рассмотрим два примера использования сообщений отладки в маршрутизаторах
обеих сторон в ходе сеанса шифрования. Сеанс шифрования, о котором идет речь,
начинается маршрутизатором А, устанавливающим связь Telnet с маршрутизатором В.
В примере 14.19 показаны сообщения отладки, появляющиеся в маршрутизаторе А.
Обратите внимание на то, что в данном примере сеанс Telnet завершается успешно.
Пример 14.19. Отладочные сообщения сеанса шифрования; ¦ . i
i. л*!'.-'-" ^ в маршрутизаторе А ¦'¦ •"^':'-^Vi--:'с---'''-';-*';-' *''-• •'¦¦.¦•"'¦•¦;
routerAtdebug crypto Besmgmt
routerAttelnet 10.1.1.2
Trying 10.1.1.2 ...
01:49:59: CRYPTO-SDU: Key Timeout, Re-exchange Crypto Keys
01:49:59: CRYPTO: Dequeued a message: Initiate_Connection
01:50:00: CRYPTO: DH gen phase 1 status for conn_id 3 slot 0:OK
01:50:01: CRYPTO: Sign done. Status=OK
01:50:01: CRYPTO: ICMP message sent: s=10.1.1.1, d=10.1.1.2
500 Часть V. Технология шифрования Cisco

01:50:01: CRYPTO-SDU: send_nnc_req: NNC Echo Request sent
01:50:06: CRYPTO: Dequeued a message: CRM
01:50:07: CRYPTO: DH gen phase 2 status for conn_id 3 slot 0:OK
01:50:07: CRYPTO: Syndrome gen status for conn_id 3 slot 0:OK
01:50:08: CRYPTO: Verify done. Status=OK
01:50:09: CRYPTO: Sign done. Status=OK
01:50:09: CRYPTO: ICMP message sent: s=10.1.1.1, d=10.1.1.2
01:50:09: CRYPTO-SDU: recv nnc rpy: NNC Echo Confirm sent
01:50:09: CRYPTO: Create encryption key for conn_id 3 slot 0:OK
01:50:09: CRYPTO: Replacing -3 in crypto maps with 3 (slot 0)Open
Warning! Unauthorized users will be prosecuted!
User Access Verification
Password:
routerB>
В примере 14.20 показаны сообщения отладки для маршрутизатора В, появляющиеся в
результате начала сеанса Telnet маршрутизатором А, как показано в примере 14.19.
routerBtdebug crypto sesmgmt
01:43:48: IP: s=10.1.1.1 (EthernetO), d=10.1.1.2,
len 328, Found an ICMP conn.
01:43:48: CRYPTO: Dequeued a message: CIM
01:43:48: CRYPTO-SDU: Key Timeout, Re-exchange Crypto Keys
01:43:49: CRYPTO: Verify done. Status=OK
01:43:50: CRYPTO: DH gen phase 1 status forconn_id 3 slot 0:OK
01:43:52: CRYPTO: DH gen phase 2 status for conn_id 3 slot 0:OK
01:43:52: CRYPTO: Syndrome gen status for conn id 3 slot 0:OK
01:43:53: CRYPTO: Sign done. Status=OK
01:43:53: CRYPTO: ICMP message sent: s=10.1.1.2, d-10.1.1.1
01:43:53: CRYPTO-SDU: act on nncjreq: NNC Echo Reply sent
01:43:53: CRYPTO: Create encryption key for conn_id 3 slot 0:OK
01:43:56: CRYPTO: Dequeued a message: CCM
01:43:56: CRYPTO: Syndrome gen status for conn_id 3 slot 0:OK
01:43:57: CRYPTO: Verify done. Status=OK
01:43:57: CRYPTO: Replacing -3 in crypto maps with 3 (slot 0)
Вопросы реализации шифрования
В этом разделе предлагается вариант настройки СЕТ и соответствующие рекомен-
рекомендации, которые призваны помочь вам правильно настроить средства СЕТ.
Вопросы планирования
Перед тем как использовать шифрование, рассмотрите схему, показанную на
рис. 14.5, и ознакомьтесь со следующими ниже пояснениями.
Глава 14. Применение шифрования Cisco
501

Хост1
Хост 2
Рис. 14.5. Пример неправильной конфигурации
Вопрос выбора подходящей топологии сети между шифрующими маршрутизатора-
маршрутизаторами является исключительно важным. В частности, позаботьтесь о том, чтобы поток
пакетов не мог использовать несколько наборов шифрующих маршрутизаторов одно-
одновременно. Рассмотрите пример неправильной конфигурации, показанной на рис. 14.5.
• Пакеты от хоста 1 к хосту 2 направляются как через шифрующий маршрутиза-
маршрутизатор А, так и через шифрующий маршрутизатор В.
• Шифрующий маршрутизатор С ведет переговоры о разных ключах шифрования
с маршрутизаторами А и В.
• При шифровании данных для хоста 1 выбирается только один ключ, поэтому
либо маршрутизатор А, либо маршрутизатор В получает пакеты, шифрованные
неправильным ключом.
• Получив пакет, шифрованный неправильным ключом, маршрутизатор отвергнет
его, что может вызвать начало установки нового соединения с маршрутизатором С.
• Должен существовать только один стабильный маршрут между парой шифрую-
шифрующих маршрутизаторов. Постоянное изменение маршрутизации между шиф-
шифрующими маршрутизаторами (например, при перераспределении нагрузки)
приводит к увеличению числа установок соединений; при этом доставляться
будет только небольшая часть пакетов. Перераспределение нагрузки можно ис-
использовать, но эта задача должна решаться маршрутизаторами в конечных точ-
точках, а не шифрующими маршрутизаторами сторон. Шифрующие маршрутиза-
маршрутизаторы сторон могут включаться в маршруты с контролируемой нагрузкой, но не
должны быть конечными точками таких маршрутов.
Вот еще несколько соображений по поводу указанной схемы.
• Типичной сетевой топологией, используемой для шифрования, является топо-
топология типа "звезда" с концентратором между маршрутизатором предприятия и
маршрутизаторами филиалов. Роль шифрующих маршрутизаторов сторон часто
играют маршрутизаторы периметра.
• Маршрутизаторы с более слабыми процессорами и ограниченной памятью всегда
работают медленнее маршрутизаторов с RISC-процессорами и достаточно большой
памятью. Шифрование вызывает интенсивное потребление процессорных ресурсов.
502
Часть V. Технология шифрования Cisco

• Интенсивное использование шифрования сильно влияет на производительность
системы. Применение только программных средств шифрования увеличивает на-
нагрузку на всю систему, что может сильно ограничить ее производительность. Ис-
Использование аппаратных средств шифрования не вызывает сильной загрузки про-
процессора, но при этом может замедляться трафик определенных интерфейсов и на-
наблюдаться их перегрузка.
• Нельзя размещать набор шифрующих маршрутизаторов между парой других
шифрующих маршрутизаторов (что называется вложением), поскольку в такой
ситуации шифрование не может работать правильно.
• Выберите конкретный поток, который действительно необходимо шифровать,
чтобы напрасно не тратить ресурсы шифрующего маршрутизатора на менее
важные потоки.
• При использовании маршрутизации по запросу, необходимо учитывать трафик
ICMP, иначе нельзя будет установить удаленные соединения.
• Средства СЕТ совместимы с туннелями GRE. Можно настроить средства шиф-
шифрования так, чтобы шифрованным оказался весь трафик через туннель GRE,
если конечные точки туннеля размещаются в шифрующих маршрутизаторах
сторон. При использовании туннелей необходимо применять криптографиче-
криптографические карты и к физическому, и к туннельному интерфейсам.
• Только одна пара маршрутизаторов может совместно использовать один сеансо-
сеансовый ключ Диффи-Хеллмана. Это значит, что один маршрутизатор не может об-
обмениваться шифрованными пакетами с двумя сторонами, используя один и тот
же сеансовый ключ. Каждая пара маршрутизаторов должна иметь свой сеансовый
' ключ, установленный в результате обмена Диффи-Хеллмана между ними.
• Шифрованное широковещание не поддерживается.
• Система СЕТ поддерживает не более 300 сеансов шифрования, что является
главным ограничением масштабирования СЕТ.
• Средства СЕТ поддерживают только трафик IP.
Рекомендации по настройке СЕТ
Ниже приводятся некоторые рекомендации, которые должны помочь вам настро-
настроить средства СЕТ так, чтобы они работали правильно и эффективно.
• После применения криптографической карты к интерфейсу первый же пакет, удов-
удовлетворяющий условиям списка доступа, инициирует процесс установки шифрован-
шифрованного соединения. Этот процесс длится несколько секунд, что обусловлено исполь-
используемой при этом технологией открытых ключей. К концу процесса установки со-
соединения оба маршрутизатора уже выполнят взаимную аутентификацию (используя
ранее согласованные открытые ключи DSS), сгенерируют общее секретное значение
Диффи-Хеллмана и вычислят по этому значению ключ шифрования DES. После
того как оба маршрутизатора успешно завершат эти шаги, передаваемые ими паке-
пакеты будут шифроваться до тех пор, пока не будет превышено предельное время су-
существования ключа одного из маршрутизаторов.
• Можно увеличить максимальное время существования последовательных со-
соединений, если соединения обрываются еще до того, как завершается обмен
ключами DSS. Необходимость такого шага можно выяснить, контролируя про-
Глава 14. Применение шифрования Cisco 503

цесс установки соединений с помощью команд debug crypto key exchange,
debug crypto sesmgmt и show serial.
• Позаботьтесь об альтернативном доступе к маршрутизатору при первом приме-
применении криптографических карты к интерфейсу маршрутизатора. Если вы до-
допустите ошибку, маршрутизатор для вас может стать недоступным.
• Опция cfb-64 должна обеспечивать более быструю и эффективную работу, чем cfb-8.
• Маршрутизатор должен применять алгоритм и значение CFB, которые выбере-
выберете вы. По умолчанию алгоритм выполняется с опцией cfb-64.
• Применение команды test crypto initiate не всегда является лучшим спосо-
способом тестирования соединения. Попробуйте использовать Telnet или генериро-
генерировать трафик, разрешенный списком доступа.
• Может понадобиться изменение предела времени существования ключа. Значение
30 минут, принимаемое по умолчанию, слишком мало. Можно увеличить его до
1440 минут. Влияние этого значения на защиту минимально, а у вас появится воз-
возможность проводить ежедневные переговоры между маршрутизаторами о новом
значении в часы низкой загрузки сети. Во время переговоров трафик отвергается.
• Для дешифрования маршрутизатор использует обратные списки доступа, по-
поэтому убедитесь, что списки доступа шифрующего и дешифрующего маршрути-
маршрутизаторов являются зеркальными отображениями друг друга.
• После настройки маршрутизаторов для шифрования рекомендуется сделать ре-
резервную копию конфигурации, желательно на защищенный TFTP-хост. Поза-
Позаботьтесь о том, чтобы надежно защитить резервную копию от модификации.
Замечание
Более подробная информация о настройке средств шифрования содержится в руково-
руководствах Cisco Security Configuration Guide и Security Configuration Command Reference.
Экспортная политика шифрования
Группа ECRA (Export Compliance and Regulatory Affairs — экспортное соответствие
и регулирование) Cisco анализирует все команды, содержащие шифрование, на пред-
предмет их соответствия экспортным ограничениям США. Для 40- и 56-битовых образов
программного обеспечения СЕТ нет специальных экспортных ограничений.
Криптографические продукты Cisco не предполагают получение на это разрешения
какой-то третьей стороны, которая должна позволить импортировать, распределять
или использовать шифрование. Импортеры, продавцы и пользователи сами должны
нести ответственность за соответствие продукта всем законам страны, в которой этот
продукт используется. Компания Cisco настоятельно советует импортерам, продавцам
и пользователям их продуктов изучить соответствующие законы, прежде чем начать
поставку и использование соответствующих продуктов.
Замечание
Эта информация была получена с Web-страницы Cisco ECRA, размещенной по адре-
адресу: www.cisco.com/wwl/export. Обратитесь к этой Web-странице, чтобы получить более
подробную информацию по этому вопросу.
504 Часть V. Технология шифрования Cisco

Планирование задач шифрования
Используйте следующие рекомендации, чтобы определить цели шифрования и со-
собрать информацию, необходимую для настройки параметров конфигурации, относя-
относящихся к шифрованию.
Общее планирование
Ответьте на следующие вопросы, касающиеся требований защиты.
• Каковы требования защиты?
• Какого типа пакеты IP будут использоваться?
• Какие алгоритмы шифрования будут использоваться?
Планирование конфигурации узлов
Заполните следующую таблицу, призванную помочь при выборе правильной кон-
конфигурации маршрутизатора. В процессе голосовой аутентификации сравните полу-
получаемую информацию о маршрутизаторе с той, которую вы записали ранее. Это мини-
минимизирует возможность появления ошибок конфигурации.
Необходимые параметры Маршрутизатор 1 Маршрутизатор 2
(локальный маршрутизатор) (маршрутизатор удаленной
стороны)
Имена маршрутизаторов
Имя хоста или подсети источника
Имя хоста или подсети адресата (стороны-
партнера)
Интерфейс локального маршрутизатора, с
которого исходят пакеты источника
Имя открытого ключа, связываемого с
маршрутизатором удаленной стороны
Алгоритм DES, который должен использо-
использоваться маршрутизаторами
Политика шифрования и дешифрования в маршрутизаторах должна быть симметрич-
симметричной, а это означает, что выбор ограничений для одного маршрутизатора автоматически
определяет такие же ограничения и для второго. В криптографической карте явно опреде-
определяется только политика шифрования. Политика дешифрования использует ту же инфор-
информацию, но при сравнении пакетов меняются местами адреса, а также порты источника и
получателя. Так данные защищаются в обоих направлениях двустороннего соединения.
Процедуры конфигурации
Определенную помощь в процессе настройки средств шифрования СЕТ может
оказать схема, показанная на рис. 14.6.
Глава 14. Применение шифрования Cisco 505

Необходимой
(шифрование]
данных
Генерирование открытых/ /
личных ключей DSS /
I
Определение глобальной /
политики шифрования /
Г
Обмен открытыми /
ключами DSS /
I
Маршрутизатор пассивной
стороны инициирует
соединение
Активизация соединения с
маршрутизатором
активной стороны
При успешном соединении
появляется порядковый
номер
X
Администратор пассивной
стороны принимает
порядковый номер
и "отпечаток" маршрутизатора
активной стороны
X
Аналогичные действия
при получении ключа DSS
маршрутизатора пассивной
стороны активной стороной
Конфигурация У
политики шифрования /
I
Конфигурация списка
управления доступом
Конфигурация карты шифрования:
• идентификация маршрутизатора
взаимодействующей стороны
• сопоставление операторов списка
управления доступом
и карты шифрования
• выбор алгоритма шифрования
Связывание карты
шифрования с интерфейсом
Сохранение конфигурации
crypto key generate dss имя-ключа
crypto key generate dss имя-ключа [слот]\гат |vip
(для маршрутизаторов Cisco серии 7500)
crypto Cisco algorithm des [cfb-81 cfb-64]
crypto Cisco algorithm 40-bit des [cfb-8 | cfb-64]
[crypto key-exchange dss passive [fcp-лорт] I
|crypto key-exchange dss ip-адрес имя-ключа [tcp-портЦ
serial number номер (возникает в маршрутизаторе)
fingerprint hex hex hex hex hex
Пассивная сторона должна подтвердить
прием нажатием <Return> в строке
приглашения системы
access-list номер-слиска-доступа (deny | permit} протокол
источник групповой-символ-источника адресатгрупповой-
символ-адресата
crypto map имя-карты [номерЦCisco]
set peer имя-ключа
match address номер-списка-доступа
set algorithm des | 40-bit-des [cfb-8 | dfb-64]
[crypto map имя-карты
Г
I copy runnlng-conflg startup-configl
Puc. 14.6. Процедуры настройки СЕТ
506
Часть V. Технология шифрования Cisco

Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Действие СЕТ заключается в выполнении следующих четырех шагов: подготов-
подготовка маршрутизаторов к шифрованию; установка сеанса шифрования; непосред-
непосредственно шифрование и дешифрование данных; завершение сеанса шифрования.
• Настройка СЕТ состоит из следующих четырех шагов: генерирование открытого и
личного ключей DSS маршрутизатора; обмен открытыми ключами DSS с мар-
маршрутизаторами сторон и согласование элементов политики; определение глобаль-
глобальной политики шифрования путем выбора алгоритмов шифрования; настройка
криптографических карт, управляющих сеансовой политикой шифрования.
• Системный администратор должен сгенерировать открытый и личный ключи
DSS до того, как начать обмен ими с шифрующими маршрутизаторами сторон.
• Маршрутизаторы могут быть настроены одним лицом, перед тем как их доста-
доставят к месту их постоянной дислокации, или же двумя системными администра-
администраторами удаленных подразделений сети с использованием голосовой связи.
• Необходимо определить глобальную политику шифрования с помощью коман-
команды crypto algorithm, устанавливающей алгоритмы шифрования и режимы, ис-
используемые сеансовыми политиками.
• Следует активизировать сеансовую политику шифрования трафика сеанса, оп-
определив списки доступа и криптографические карты и применив криптографи-
криптографические карты к конкретным интерфейсам.
• Расширенные списки доступа IP определяют, какие пакеты должны шифро-
шифроваться на выходе соответствующего интерфейса, используя для этого информа-
информацию об адресах источника и получателя, о протоколе и портах TCP или UDP.
• Криптографические карты связываются с шифрующим интерфейсом с помо-
помощью команды crypto шар в режиме конфигурации интерфейса.
• Команда test crypto initiate-session используется для установки тестового
сеанса шифрования.
• Набор команд show crypto и debug crypto используется для проверки парамет-
параметров настройки средств шифрования и деталей политики шифрования локаль-
локального маршрутизатора, а также для выявления ошибок настройки СЕТ.
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Какие три типа криптографических модулей применяются в маршрутизаторах Cisco?
2. Какая команда используется для создания открытого и личного ключей маршру-
маршрутизаторов сообщающихся сторон?
3. Какую из следующих команд нужно ввести первой в маршрутизаторах сторон при
обмене открытыми ключами DSS?
Глава 14. Применение шифрования Cisco 507

crypto key exchange dss ip-адрес имя [tcp-порт]
crypto key exchange dss passive
4. Какую команду следует использовать для определения глобальной политики
шифрования?
5. Какая из следующих команд определяет и контролирует сеансовую политику
шифрования?
crypto key generate dss
crypto key exchange dss
crypto map
access-list
6. Как задать трафик, а также адреса хостов и подсетей, инициирующие сеанс шиф-
шифрования?
7. Какой командой можно воспользоваться для тестирования установки шифрован-
шифрованного соединения между маршрутизаторами?
8. Какую команду можно использовать для проверки того, что пакеты действитель-
действительно шифруются?
9. Какую команду следует применить для проверки шестнадцатеричных значений
открытых ключей DSS в маршрутизаторе?
10. Какие три команды отладки доступны для проверки настроек СЕТ?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Технология СЕТ, планирование ее применения
и настройка
Cisco IOS Software Feature: Network Layer Encryption, 1997. "Белая книга", содержа-
содержащая обзор технологий, используемых системой СЕТ, обсуждение их приложений и
особенностей реализации, а также рекомендации по настройке. Размещается по адре-
адресу: www.cisco.com/wacrp/customer/732/Security/encrp_wp.htm.
Информация о ESA и VIP2-40
Data Encryption Service Adapter (ESA) Installation and Configuration, 1997. Блок доку-
документации Cisco Systems, Inc., под номером 78-3279-01. Описывает порядок установки
и процедуру настройки ESA. Предлагается на странице: www.cisco.com/univercd/cc/td/
doc/product/core/7204/.
Настройка СЕТ
Security Command Reference, Cisco IOS Release 12.0, October, 1998.
Security Configuration Guide, Cisco IOS Release 12.0, October, 1998.
508 Часть V. Технология шифрования Cisco

i
X -
к ;, •»

Часть
VI
Виртуальные частные сети,
использующие IPSec
Глава 15. Поддержка IPSec в сетях Cisco
Глава 16. Настройка Cisco IOS для поддержки IPSec
;•;*¦" Глава 17. Настройка IPSec в брандмауэре PIX Firewall
,: Глава 18. Масштабирование сетей IPSec

Изучив материал данной главьЛьг сможете выполцшъЯслёдующее.
• Указать протоколы шйфрова " '-
ствах Cisco.
уда' -^'Л тт
• Объяснить предашначение 'идействие любого протокола IP^c, поддерживаемого в
работаеШРБес.
• Раажазатвйяля чего нужны центр№|в|Я|афикации и как они работают.
• Сформудир'овать общие зада'яЛ'' перечт^лить основные^u&l.процедуры на-
стройки IPSec. ^J %^ ^0
• Объяснить, как щюграммное обеспечение Cisco ld$ работает с
IPSei
*< '

Глава
15
Поддержка IPSec в сетях Cisco
главе предлагается обзор средств IPSec (IP security — система защиты на
„s,. и соответствующих протоколов IPSec, доступных в продуктах Cisco и ис-
?ЙэльзуШ!ш>для создания виртуальных частных сетей (сетей VPN). Здесь будут рас-
йй|СяренЩт]дарколы IPSec, а в последующих главах будет подробно обсуждаться про-
|1оию#ередств поддержки IPSec в продуктах Cisco.
•ш, что такое сети VPN, и рассмотрим протоколы, с помощью ко-
тся. Затем определим, что такое IPSec, а также какие протоколы и
ежат в основе IPSec. После этого каждый из этих протоколов и
алгоряямойбудет''Ш^!мотрен подробнее, с учетом его функциональных особенностей
и испо1р!шания цКЙках IPSec. Здесь будут перечислены основные задачи, которые
приходится^ решатй&^настройке IPSec, и одна из этих задач, которая является об-
<0ъ<Щ вариаяройнастройки IPSec, будет рассмотрена подробно. Глава заканчи-
кратким описрйцм процесса настройки и использования IPSec в рамках про-
isco IOS.
щищенных сетей VPN
IPSec
цествует множество вопросов сетевого планирования, касающихся сетей
|— напримерЩкак создавать такие сети и как согласовывать их с существующей
архитектурой сетийредфиятия. Сеть VPN (Virtual Private Network — виртуальная ча-
стна* сеть) являет^ с|Й>ю предприятия, разворачиваемой в рамках общедоступной
инфраструктуры/ нр^использующей возможности защиты, управления и политики ка-
качества сервиса, пршй||яемые в частной сети. Сети VPN строятся на использовании
инфраструктуры тяЩтьных сетей, обеспечивая альтернативу существующим частным
се|йм,'' использующий*арендуемые каналы.
Существует -гдаурп-егории сетей VPN.
Коммутируемые сети. Такая сеть VPN связывает надомных работников, мобиль-
ных^шшювателей и даже небольшие удаленные подразделения компании
(ийтенс|ИЙ8ность трафика которых невысока) с глобальной сетью предприятия и
^.корпоративными вычислительными ресурсами.
Интрасети. Интрасеть VPN соединяет фиксированные подразделения, филиалы
и домашние офисы в рамках глобальной сети предприятия.

• Экстрасети. Такая сеть позволяет ограниченный доступ к вычислительным
ресурсам предприятия деловым партнерам (например, поставщикам или
клиентам) с целью совместного использования информации, представляю-
представляющей общий интерес.
Для реализации каждого из указанных типов сетей VPN используются наборы со-
соответствующих протоколов.
Протоколы VPN
Для создания сетей VPN разработано множество протоколов. Каждый из этих про-
протоколов обеспечивает определенные возможности VPN. Например, протокол IPSec
(который является главным предметом обсуждения данной главы) предлагает методы
шифрования сетевого уровня, обеспечивающие возможности аутентификации и сер-
сервис шифрования между конечными точками в общедоступных IP-сетях. Другие про-
протоколы обеспечивают поддержку определенных возможностей VPN с помощью тунне-
лирования, т.е. инкапсуляции данных или протоколов в другие протоколы. Ниже пе-
перечислены некоторые из наиболее популярных туннельных протоколов, используемых
для создания сетей VPN.
• Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для маршру-
маршрутизации). Разработанный Cisco туннельный протокол, обеспечивающий инкап-
инкапсуляцию многих типов протокольных пакетов в туннели IP, создает виртуаль-
виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IP-сети.
• Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2). Разработан-
Разработанный Cisco туннельный протокол, который позволяет создать сеть VPDN (Virtual
Private Dialup Network — виртуальная частная коммутируемая сеть) — систему,
обеспечивающую существование коммутируемых сетей, распространяющихся
на удаленные домашние офисы, которые кажутся при этом непосредственной
частью сети предприятия.
• Протокол РРТР (Point-to-Point Tunneling Protocol — протокол туннелирования
двухточечного соединения). Разработанный Microsoft сетевой протокол, обеспе-
обеспечивающий защищенную передачу данных от удаленного клиента к частному
серверу предприятия с помощью создания сети VPN над IP-сетями. Протокол
РРТР поддерживает маршрутизацию по требованию, многопротокольный об-
обмен и виртуальные частные сети в открытых сетях типа Internet.
• Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРР-
соединения уровня 2). Разработанный Cisco и Microsoft туннельный протокол,
позволяющий создавать сети VPDN. Протокол L2TP является расширением
протокола РРР (Point-to-Point Protocol — протокол передачи от точки к точке),
используемого для сетей VPN, и объединяет лучшие возможности туннельных
протоколов РРТР и L2F.
• Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft шиф-
шифрования двухточечного соединения). Средство перевода пакетов РРР в шифро-
шифрованную форму. Позволяет создать защищенную VPN-связь через коммутируе-
коммутируемую или удаленную сеть. Для обеспечения конфиденциальности данных в рам-
рамках МРРЕ используется алгоритм шифрования RSA типа RC4.
514 Часть VI. Виртуальные частные сети, использующие IPSec

Что такое IPSec
Продукты Cisco для поддержки VPN используют набор протоколов IPSec, являющийся
на сегодня промышленным стандартом обеспечения широких возможностей VPN. IPSec
предлагает механизм защищенной передачи данных в IP-сетях, обеспечивая конфиденци-
конфиденциальность, целостность и достоверность данных, передаваемых через незащищенные сети
типа Internet. IPSec обеспечивает следующие возможности VPN в сетях Cisco.
• Конфиденциальность данных. Отправитель данных IPSec имеет возможность
шифровать пакеты перед тем, как передавать их по сети.
• Целостность данных. Получатель данных IPSec имеет возможность аутентифи-
цировать сообщающиеся с ним стороны (устройства или программное обеспе-
обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты IPSec,
посылаемые этими сторонами, чтобы быть уверенным в том, что данные не
были изменены в пути.
• Аутентификация источника данных. Получатель данных IPSec имеет возмож-
возможность аутентифицировать источник получаемых пакетов IPSec. Этот сервис за-
зависит от сервиса целостности данных.
• Защита от воспроизведения. Получатель данных IPSec может обнаруживать и от-
отвергать воспроизведенные пакеты, не допуская их фальсификации и проведе-
проведения атак внедрения посредника.
IPSec представляет собой основанный на стандартах набор протоколов и алгоритмов
защиты. Технология IPSec и связанные с ней протоколы защиты соответствуют откры-
открытым стандартам, которые поддерживаются группой IETF (Internet Engineering Task
Force — проблемная группа проектирования Internet) и описаны в спецификациях RFC
и проектах IETF. IPSec действует на сетевом уровне, обеспечивая защиту и аутентифи-
аутентификацию пакетов IP, пересылаемых между устройствами (сторонами) IPSec — такими как
маршрутизаторы Cisco, брандмауэры PIX Firewall, клиенты и концентраторы Cisco VPN,
а также многие другие продукты, поддерживающие IPSec. Средства поддержки IPSec
допускают масштабирование от самых малых до очень больших сетей.
Ассоциации защиты
IPSec предлагает стандартный способ аутентификации и шифрования соединений ме-
между сообщающимися сторонами IPSec. Чтобы обеспечить защиту связей, средства IPSec
используют стандартные алгоритмы (т.е. математические формулы) шифрования и аутен-
аутентификации, называемые преобразованиями. В IPSec используются открытые стандарты со-
согласования ключей шифрования и управления соединениями, что обеспечивает возмож-
возможность взаимодействия между сторонами. Технология IPSec предлагает методы, позволяю-
позволяющие сторонам IPSec "договориться" о согласованном использовании сервисов. Чтобы
указать согласуемые параметры, в IPSec используются ассоциации защиты.
Ассоциация защиты (Security Association — SA) представляет собой согласованную
политику или способ обработки данных, обмен которыми предполагается между дву-
двумя устройствами сообщающихся сторон. Одной из составляющих такой политики
может быть алгоритм, используемый для шифрования данных. Обе стороны могут ис-
использовать один и тот же алгоритм как для шифрования, так и для дешифрования.
Действующие параметры SA сохраняются в базе данных ассоциаций защиты (Security
Association Database — SAD) обеих сторон.
Глава 15. Поддержка IPSec в сетях Cisco 515

Протокол IKE (Internet Key Exchange — обмен Internet-ключами) является гибридным
протоколом, обеспечивающим специальный сервис для IPSec, а именно аутентификацию
сторон IPSec, согласование параметров ассоциаций защиты IKE и IPSec, а также выбор
ключей для алгоритмов шифрования, используемых в рамках IPSec. Протокол IKE опира-
опирается на протоколы ISAKMP (Internet Security Association and Key Management Protocol —
протокол управления ассоциациями и ключами защиты в сети Internet) и Oakley, которые
применяются для управления процессом создания и обработки ключей шифрования, ис-
используемых в преобразованиях IPSec. Протокол IKE применяется также для формирова-
формирования ассоциаций защиты между потенциальными сторонами IPSec. В данной книге, как в
маршрутизаторах Cisco и брандмауэрах PIX Firewall, IKE является синонимом ISAKMP,
т.е. аббревиатура IKE используется для обозначения любого из этих протоколов.
Как IKE, так и IPSec используют ассоциации зашиты, чтобы указать параметры
связи. Компоненты IPSec, ассоциаций защиты и IKE будут рассмотрены в данной
главе немного позже.
Инфраструктура IPSec
Сети VPN на основе IPSec могут быть построены с помощью самых разных уст-
устройств Cisco — маршрутизаторов Cisco, брандмауэров CiscoSecure PIX Firewall, про-
программного обеспечения клиента CiscoSecure VPN и концентраторов Cisco VPN серий
3000 и 5000. Маршрутизаторы Cisco имеют встроенную поддержку VPN с соответст-
соответствующими богатыми возможностями программного обеспечения Cisco IOS, что
уменьшает сложность сетевых решений и снижает общую стоимость VPN при воз-
возможности построения многоуровневой защиты предоставляемых сервисов. Брандмау-
Брандмауэр PIX Firewall является высокопроизводительным сетевым устройством, которое мо-
может обслуживать конечные точки туннелей, обеспечивая им высокую пропускную
способность и прекрасные функциональные возможности брандмауэра. Программное
обеспечение клиента CiscoSecure VPN поддерживает самые строгие требования VPN
удаленного доступа для операций электронной коммерции, а также приложений мо-
мобильного доступа, предлагая законченную реализацию стандартов IPSec и обеспечи-
обеспечивая надежное взаимодействие маршрутизаторов Cisco и брандмауэров PIX Firewall.
Как работает IPSec
IPSec опирается на ряд технологических решений и методов шифрования, но дей-
действие IPSec в общем можно представить в виде следующих главных шагов (рис. 15.1).
Шаг 1. Начало процесса IPSec. Трафик, которому требуется шифрование в соответст-
соответствии с политикой защиты IPSec, согласованной сторонами IPSec, начинает
1КЕ-процесс.
Шаг 2. Первая фаза IKE. IKE-процесс выполняет аутентификацию сторон IPSec и ве-
ведет переговоры о параметрах ассоциаций защиты IKE, в результате чего созда-
создается защищенный канал для ведения переговоров о параметрах ассоциаций
защиты IPSec в ходе второй фазы IKE.
Шаг 3. Вторая фаза IKE. IKE-процесс ведет переговоры о параметрах ассоциации за-
защиты IPSec и устанавливает соответствующие ассоциации защиты IPSec для
устройств сообщающихся сторон.
516 Часть VI. Виртуальные частные сети, использующие IPSec

Маршрутизатор А
Маршрутизатор В
Хост А
Хост В
Шаг1
Поток данных к хосту В)
Шаг 2 Ассоциация IKE
Фаза 11KE
ШагЗ Ассоциация IPSec
Фаза 2 IKE
Ассоциация IKE
АссоциацияIPSec
Шаг 4
Шаг 5 Завершение работы туннеля IPSec
Рис. 15.1. Пять шагов процесса IPSec
Шаг 4. Передача данных. Происходит обмен данными между сообщающимися сторо-
сторонами IPSec, который основывается на параметрах IPSec и ключах, хранимых в
базе данных ассоциаций защиты.
Шаг 5. Завершение работы туннеля IPSec. Ассоциации защиты IPSec завершают свою
работу либо в результате их удаления, либо по причине превышения предель-
предельного времени их существования.
В следующих разделах указанные шаги будут описаны подробнее.
Шаг 1. Начало процесса IPSec
Тип трафика, который должен защищаться средствами IPSec, определяется в рамках
политики защиты для VPN. Затем эта политика реализуется в виде команд конфигура-
конфигурации интерфейсов устройств каждой стороны IPSec. Например, в маршрутизаторах Cisco
и брандмауэрах PIX Firewall для определения трафика, подлежащего шифрованию, ис-
используют списки доступа. Списки доступа реализуют политику шифрования, например,
с помощью операторов permit, указывающих, что соответствующий трафик должен
шифроваться, и операторов deny, запрещающих шифрование соответствующего трафика.
В случае клиента Cisco VPN используются окна меню, где указываются соединения, ко-
которым должна обеспечиваться защита IPSec. Когда подлежащий шифрованию трафик
генерируется клиентом IPSec или проходит через него, клиент инициирует следующий
шаг процесса, начиная первую фазу IKE.
Глава 15. Поддержка IPSec в сетях Cisco
517

Шаг 2. Первая фаза IKE
Главной целью обмена данными, происходящего в первой фазе IKE, является аутенти-
аутентификация сторон IPSec и создание защищенного канала между сторонами, позволяющего
начать обмен IKE. В ходе первой фазы IKE выполняются следующие действия.
• Ведутся переговоры о согласовании политики ассоциаций защиты IKE между
сторонами, чтобы обеспечить защиту обмена IKE. Ассоциация защиты IKE по-
получает согласованные параметры IKE и является двусторонней.
• Выполняется аутентифицированный обмен Диффи-Хеллмана, в результате ко-
которого выбирается общий секретный ключ для использования в алгоритмах
шифрования IPSec.
• Выполняется аутентификация и обеспечивается защита сторон IPSec.
• Устанавливается защищенный туннель для ведения переговоров о параметрах
второй фазы IKE.
Для первой фазы IKE допустимы два режима: основной и энергичный.
Основной режим первой фазы IKE
В этом режиме выполняются три двухсторонних обмена между инициатором и
респондентом.
1. В ходе первого обмена алгоритмы, используемые для защиты связи IKE, согла-
согласуются до тех пор, пока не будет достигнуто соответствие для всех ассоциаций
защиты IKE сообщающихся сторон.
2. В процессе второго обмена выполняется алгоритм Диффи-Хеллмана, чтобы согласо-
согласовать общий секретный материал, на основе которого создаются общие секретные
ключи, передать так называемые "оказии" (случайные значения, посылаемые другой
стороне), подписать их и возвратить обратно, чтобы доказать "свою личность".
3. В ходе третьего обмена выполняется аутентификация стороны-партнера. Иден-
Идентификационным значением в данном случае выступает IP-адрес стороны IPSec в
шифрованном виде.
Основным результатом этого режима является согласование параметров ассоциа-
ассоциаций защиты IKE между сторонами с целью создания защищенного канала для после-
последующих обменов IKE. Ассоциация защиты IKE определяет параметры обмена IKE:
используемый метод аутентификации, алгоритмы шифрования и хэширования, ис-
используемая группа Диффи-Хеллмана (одна из двух доступных), максимальное время
существования ассоциации защиты IKE в секундах или килобайтах и совместно ис-
используемые секретные значения ключей для алгоритмов шифрования. Ассоциации
защиты IKE в устройствах каждой из сторон являются двусторонними.
Энергичный режим первой фазы IKE
В данном режиме меньше и число обменов, и число пересылаемых при этом паке-
пакетов, в результате чего требуется меньше времени для установки сеанса IPSec. В этом
случае выполняются следующие действия.
1. В ходе первого обмена почти все необходимое включается в предлагаемые значения
для ассоциаций защиты IKE, открытый ключ Диффи-Хеллмана, оказию, подписы-
518 Часть VI. Виртуальные частные сети, использующие IPSec

ваемую второй стороной, и пакет идентификации, который можно использовать для
того, чтобы аугентифицировать вторую сторону с помощью третьей стороны.
2. Получатель отправляет назад все, что требуется, чтобы завершить обмен. Ини-
Инициатору остается только подтвердить обмен.
Недостатком использования энергичного режима является то, что обе стороны об-
обмениваются информацией до того, как создан защищенный канал. Таким образом,
можно подключиться к линии и выяснить, кто формирует новую ассоциацию защиты.
С другой стороны, обмен происходит быстрее, чем в основном режиме. Энергичный
режим для обмена IKE обычно не инициируется продуктами Cisco, но маршрутизато-
маршрутизаторы Cisco и брандмауэры PIX Firewall могут соответствующим образом ответить сторо-
стороне IPSec, инициировавшей обмен в энергичном режиме.
Шаг 3. Вторая фаза IKE
Задачей второй фазы IKE является согласование параметров ассоциации защиты IPSec
с целью создания туннеля IPSec. В этой фазе выполняются следующие действия.
• Ведутся переговоры о параметрах ассоциации защиты IPSec, защищаемые су-
существующей ассоциацией защиты IKE.
• Устанавливаются ассоциации защиты IPSec.
• Периодически возобновляются переговоры об ассоциациях защиты IPSec, что-
чтобы гарантировать защиту.
• В необязательном порядке может выполняться дополнительный обмен Диффи-
Хеллмана.
Вторая фаза IKE выполняется только в быстром режиме, после того как в резуль-
результате первой фазы IKE создается защищенный туннель. Затем ведутся переговоры о
согласованной политике IPSec, извлекается общий секретный материал для работы
алгоритмами защиты IPSec и создаются ассоциации защиты IPSec. В быстром режиме
выполняется обмен оказиями, которые обеспечивают защиту от воспроизведения со-
сообщений. Оказии используются для того, чтобы гарантировать создание новых сек-
секретных ключей и не допустить проведения атак воспроизведения, в результате кото-
которых противник мог бы создать "фальшивые" ассоциации защиты.
Быстрый режим используется также для того, чтобы договориться о новых ассоциациях
защиты IPSec, когда оказывается превышен предел времени существования старой ассо-
ассоциации защиты IPSec. Базовый вариант быстрого режима используется для того, чтобы
обновить секретный материал, предназначенный для создания общего секретного ключа
на основе значений, полученных при обмене Диффи-Хеллмана в ходе первой фазы. В
IPSec имеется опция PFS (Perfect Forward Secrecy — совершенная прямая секретность),
усиливающая защиту ключей. Если политикой IPSec предписано использование опции
PFS, то для каждого обмена в быстром режиме требуется новый обмен Диффи-Хеллмана,
обеспечивающий новые данные для ключей, в результате чего данные для ключей будут
обладать большей энтропией ("нерегулярностью") и потому большей устойчивостью в от-
отношении криптографических атак. Каждый обмен Диффи-Хеллмана требует большого
числа возведений в степень, что увеличивает загрузку процессора и снижает общую произ-
производительность системы.
Ассоциации защиты, согласуемые в быстром режиме, идентифицируются IP-
адресами 1КЕ-сторон.
Глава 15. Поддержка IPSec в сетях Cisco 519

Согласование преобразований IPSec
В ходе второй фазы в рамках протокола IKE ведутся переговоры о преобразовани-
преобразованиях IPSec (алгоритмах защиты IPSec). IPSec состоит из двух главных протоколов защи-
защиты и множества протоколов поддержки. Преобразования IPSec и связанные с ними
алгоритмы шифрования являются следующими.
• Протокол АН (Authentication Header — заголовок аутентификации). Протокол зашиты,
обеспечивающий аутентификацию и (в качестве опции) сервис выявления воспро-
воспроизведения. Протокол АН действует как цифровая подпись и гарантирует, что дан-
данные в пакете IP не будут несанкционированно изменены. Протокол АН не обеспе-
обеспечивает сервис шифрования и дешифрования данных. Данный протокол может ис-
использоваться или самостоятельно, или совместно с протоколом ESP.
• Протокол ESP (Encapsulating Security Payload — включающий защиту полезный
груз). Протокол защиты, обеспечивающий конфиденциальность и защиту дан-
данных, а также (в качестве опции) сервис аутентификации и выявления воспроиз-
воспроизведения. Поддерживающие IPSec продукты Cisco используют ESP для шифро-
шифрования полезного груза IP-пакетов. Протокол ESP может использоваться само-
самостоятельно или совместно с АН.
• Стандарт DES (Data Encription Standard — стандарт шифрования данных). Алго-
Алгоритм шифрования и дешифрования данных пакетов. Алгоритм DES использу-
используется как в рамках IPSec, так и IKE. Для алгоритма DES используется 56-
битовый ключ, что означает не только более высокое потребление вычисли-
вычислительных ресурсов, но и более надежное шифрование. Алгоритм DES является
симметричным алгоритмом шифрования, для которого требуются идентичные
секретные ключи шифрования в устройствах каждой из сообщающихся сторон
IPSec. Для создания симметричных ключей применяется алгоритм Диффи-
Хеллмана. IKE и IPSec используют алгоритм DES для шифрования сообщений.
• "Тройной" DES CDES). Вариант DES, основанный на использовании трех ите-
итераций стандартного DES с тремя разными ключами, что практически утраивает
стойкость DES. Алгоритм 3DES используется в рамках IPSec для шифрования и
дешифрования потока данных. Данный алгоритм использует 168-битовый
ключ, что гарантирует высокую надежность шифрования. IKE и IPSec исполь-
используют алгоритм 3DES для шифрования сообщений.
При преобразовании IPSec используется также два стандартных алгоритма хэши-
хэширования, обеспечивающих аутентификацию данных.
• Алгоритм MD5 (Message Digest 5 — "профиль" сообщения 5). Алгоритм хэширова-
хэширования, применяемый для аутентификации пакетов данных. В продуктах Cisco исполь-
используется вычисляемый с помощью MD5 код НМАС (Hashed Message Authentication
Code — хэшированный код аутентичности сообщения) — вариант кода аутентично-
аутентичности сообщения, которому обеспечивается дополнительная защита с помощью хэ-
хэширования. Хэширование представляет собой процесс одностороннего (т.е. необра-
необратимого) шифрования, в результате которого для поступающего на вход сообщения
произвольной длины получается вывод фиксированной длины. IKE, АН и ESP ис-
используют MD5 для аутентификации данных.
• Алгоритм SHA-1 (Secure Hash Algorithm-1 — защищенный алгоритм хэширования 1).
Алгоритм хэширования, используемый для аутентификации пакетов данных. В про-
520 Часть VI. Виртуальные частные сети, использующие IPSec

дуктах Cisco применяется вариант кода НМАС, вычисляемый с помощью SHA-1.
ЖЕ, АН и ESP используют SHA-1 для аутентификации данных.
В рамках протокола IKE симметричные ключи создаются с помощью алгоритма
Диффи-Хеллмана, использующего DES, 3DES, MD5 и SHA. Протокол Диффи-
Хеллмана является криптографическим протоколом, основанным на применении от-
открытых ключей. Он позволяет двум сторонам согласовать общий секретный ключ, не
имея достаточно надежного канала связи. Общие секретные ключи требуются для ал-
алгоритмов DES и НМАС. Алгоритм Диффи-Хеллмана используется в рамках IKE для
создания сеансовых ключей. В продуктах Cisco поддерживаются 768- и 1024-битовые
группы Диффи-Хеллмана. 1024-битовая группа обеспечивает более надежную защиту.
Каждой ассоциации защиты IPSec присваивается индекс SPI (Security Parameter
Index — индекс параметров защиты) — число, используемое для идентификации ассо-
ассоциации защиты IPSec. Ассоциация защиты IPSec определяет используемое преобразо-
преобразование IPSec (ESP и/или АН и соответствующие алгоритмы шифрования и хэширова-
хэширования), предел времени существования ассоциации защиты IPSec в секундах или кило-
килобайтах, указывает необходимость применения опции PFS, IP-адреса сторон, а также
общие значения секретных ключей для алгоритмов шифрования и другие параметры.
Все ассоциации защиты IPSec являются односторонними. Один цикл согласования
ассоциации защиты IPSec завершается созданием двух ассоциаций защиты — одной
входящей и одной исходящей.
Протоколы АН и ESP IPSec могут действовать или в туннельном, или в транс-
транспортном режимах. Туннельный режим используется для связи между шлюзами IPSec,
и в этом случае средствам IPSec приходится создавать совершенно новый заголовок
IPSec. Транспортный режим обычно применяется между клиентом и сервером VPN, и
при этом используется существующий заголовок IP.
Шаг 4. Передача данных
После завершения второй фазы IKE и создания ассоциаций защиты IPSec в быст-
быстром режиме, начинается обмен информацией через туннель IPSec, связывающий сто-
стороны IPSec. Пакеты шифруются и дешифруются с помощью алгоритмов шифрования
и ключей, указанных ассоциацией защиты IPSec. Ассоциация защиты IPSec задает
также предел времени своего существования в килобайтах передаваемых данных или в
секундах. Ассоциация защиты имеет специальный счетчик, значение которого умень-
уменьшается на единицу за каждую секунду или после передачи каждого килобайта данных.
Шаг 5. Завершение работы туннеля IPSec
Ассоциации защиты IPSec завершают свою работу либо по причине их удаления,
либо потому, что оказывается превышен предел времени их существования. Когда
ассоциации защиты завершают работу, соответствующие им ключи тоже становятся
недействительными. Если для потока данных требуются новые ассоциации защиты
IPSec, в рамках протокола IKE снова выполняется обмен второй фазы, а если необ-
необходимо, то и первой. В результате успешного их завершения создаются новые ассо-
ассоциации защиты и новые ключи. Новые ассоциации защиты могут создаваться и до
истечения времени существования предыдущих, чтобы поток данных мог двигаться
непрерывно. Обычно переговоры второй фазы выполняются чаще, чем переговоры
первой фазы.
Глава 15. Поддержка IPSec в сетях Cisco 521

Технологии, используемые
в рамках IPS ее
Давайте рассмотрим детали технологий, составляющих суть IPSec. Стандарты, ис-
используемые в рамках IPSec, являются достаточно сложными для понимания, поэтому
в этом разделе мы рассмотрим каждую из составляющих IPSec подробно. В IPSec ис-
используются следующие технологии:
• протокол АН;
• протокол ESP;
• стандарт шифрования DES;
• стандарт шифрования 3DES;
• протокол IKE;
• метод согласования ключей по схеме Диффи-Хеллмана;
• хэшированные коды аутентичности сообщений (НМАС);
• защита RSA;
• центры сертификации.
Протокол АН
Данный протокол обеспечивает аутентификацию и целостность данных для паке-
пакетов IP, передаваемых между двумя системами. Протокол АН не обеспечивает конфи-
конфиденциальность (т.е. шифрование) пакетов. Аутентификация выполняется путем при-
применения к пакету односторонней, зависящей от ключа функции хэширования, гене-
генерирующей "профиль" сообщения. Изменение любой части пакета в пути передачи
будет обнаружено получателем в результате применения к полученным данным ана-
аналогичной односторонней функции хэширования и сравнения вычисленного значения
профиля сообщения с тем, которое указал отправитель. Аутентичность полученной
информации гарантируется тем, что для одностороннего хэширования обеими систе-
системами используется один и тот же секретный ключ. Схема работы протокола АН пока-
показана на рис. 15.2. При этом выполняются следующие действия.
1. Выполняется хэширование IP-заголовка и полезного груза пакета.
2. Полученный хэш-код используется при построении нового заголовка АН, который
подсоединяется к исходному пакету между заголовком и блоком полезного груза.
3. Новый пакет передается второй стороне IPSec.
4. Сторона-получатель вычисляет значение хэш-кода для заголовка IP и полезного
груза, извлекает переданное значение хэш-кода из заголовка АН и сравнивает эти
два значения. Соответствующие значения хэш-кода должны в точности совпадать.
Если в пути изменится хотя бы один бит пакета, вычисленный получателем хэш-
код пакета не будет совпадать со значением, указанным в заголовке АН.
Протокол АН обеспечивает аутентификацию для максимально возможного числа
полей заголовка IP, как и для полей данных протоколов высших уровней. Однако не-
некоторые поля заголовка IP могут изменяться в пути. Значения изменяемых полей
522 Часть VI. Виртуальные частные сети, использующие IPSec

(например, поля TTL, указывающего время существования пакета) изменяются про-
промежуточными сетевыми устройствами, через которые проходит пакет, и такие изме-
изменения отправитель прогнозировать не может. Значения изменяемых полей не должны
защищаться протоколом АН. Таким образом, защита, которая обеспечивается заго-
заголовку IP протоколом АН, оказывается несколько ограниченной. Протокол АН может
также дополнительно обеспечить защиту от воспроизведения пакетов, для чего в заго-
заголовке IP указывается порядковый номер пакета. Полное описание протокола АН со-
содержится в документе RFC 2402.
Заголовок IP + данные Заголовок IP + данные
1
Хэширование Хэширование
Данные аутентификации Данные аутентификации
(OOABCDEF) ,. . @0ABCDEF)
IP HDR АН Данные
Маршрутизатор А Маршрутизатор В
Рис. 15.2. Применение хэширования в рамках протокола АН
Протокол ESP
ESP является протоколом защиты, обеспечивающим конфиденциальность (т.е.
шифрование), аутентификацию источника и целостность данных, а также (в качестве
опции) сервис защиты от воспроизведения и ограниченную конфиденциальность
трафика путем противодействия попыткам анализа потока данных.
Протокол ESP обеспечивает конфиденциальность с помощью шифрования на
уровне пакетов IP. При этом поддерживается множество алгоритмов симметричной
схемы шифрования. Алгоритмом по умолчанию для IPSec является DES с 56-битовым
ключом. Этот шифр должен присутствовать для гарантии совместимости между всеми
поддерживающими IPSec продуктами. Продукты Cisco поддерживают также алгоритм
3DES, обеспечивающий более стойкое шифрование. Конфиденциальность может быть
выбрана независимо от других сервисов.
Аутентификация источника данных и поддержка целостности без установления со-
соединений используются совместно и являются опциями (т.е. необязательны). Эти
возможности можно также объединить с сервисом конфиденциальности.
Сервис защиты от воспроизведения можно выбрать только в том случае, если вы-
выбрана аутентификация источника данных, и выбор этого сервиса является исключи-
исключительной прерогативой получателя. Хотя по умолчанию от отправителя и требуется ав-
автоматически увеличивать порядковый номер, используемый для защиты от воспроиз-
воспроизведения, этот сервис оказывается эффективным только в том случае, если получатель
проверяет этот порядковый номер. Конфиденциальность трафика требует выбора тун-
туннельного режима. Наиболее эффективным это оказывается в шлюзе защиты, где мас-
Глава 15. Поддержка IPSec в сетях Cisco 523

кировка источника-адресата может быть выполнена сразу для всего трафика. Здесь
следует отметить, что хотя и конфиденциальность, и аутентификация являются оп-
опциями, должен быть выбран по крайней мере один из этих сервисов.
Набор сервисов, обеспечиваемых протоколом ESP, зависит от параметров, которые
указываются в конфигурации IPSec и выбираются при создании ассоциации защиты
IPSec. Однако выбор конфиденциальности без целостности/аутентификации (или в
рамках ESP, или отдельно с помощью АН) оставляет противнику возможность для
проведения атак определенного вида, что может ограничить пользу применяемого та-
таким образом сервиса конфиденциальности.
Заголовок ESP вставляется в пакет после заголовка IP перед заголовком протокола
высшего уровня (в транспортном режиме) или перед инкапсулированным заголовком IP (в
туннельном режиме). Полное описание протокола ESP содержится в документе RFC 2406.
Шифрование ESP с применением НМАС
В рамках протокола ESP может также обеспечиваться аутентификация пакетов с по-
помощью необязательного поля аутентификации. В программном обеспечении Cisco IOS и в
брандмауэрах PIX Firewall этот сервис называется ESP НМАС. Значения аутентификации
вычисляются после того, как выполнено шифрование. Используемый сегодня стандарт
IPSec описывает алгоритмы SHA1 и MD5 как обязательные для НМАС.
Главное различие между аутентификацией ESP и аутентификацией АН заключает-
заключается в области их охвата. ESP не защищает никаких полей заголовка IP, если только не
предполагается инкапсуляция ESP (туннельный режим). На рис. 15.3 указано, какие
поля защищаются при использовании ESP НМАС.
Маршрутизатор
Cisco
IPHDR
ESP
Данные
-«-Аутентифицируется-i
Концевик
ESP
Аутентификатор
ESP
Брандмауэр PIX
- Шифруется •*-
Рис. 15.3. Защита части полезного груза и заголовка ESP при использовании ESP НМАС
Обратите внимание на то, что шифрование охватывает только данные полезного
груза, a ESP с хэшированием ESP НМАС — заголовок ESP и данные полезного груза.
Заголовок IP не защищается. Сервис ESP НМАС не может использоваться самостоя-
самостоятельно, а должен быть объединен с протоколом шифрования ESP.
Туннельный и транспортный режимы IPSec
IPSec действует или в туннельном, или в транспортном режиме. На рис. 15.4 показана
схема реализации туннельного режима. В этом режиме вся исходная дейтаграмма IP шиф-
шифруется и становится полезным грузом в новом пакете IP с новым заголовком IP и допол-
дополнительным заголовком IPSec (на рис. 15.4 заголовок обозначен аббревиатурой HDR). Тун-
Туннельный режим позволяет сетевому устройству (например, брандмауэру PIX Firewall) вы-
выступать в роли шлюза IPSec или прокси-сервера, выполняющего шифрование для хостов,
размещенных за брандмауэром. Маршрутизатор источника шифрует пакет и передает его
по туннелю IPSec. Брандмауэр PIX Firewall адресата дешифрует полученный пакет IPSec,
524
Часть VI. Виртуальные частные сети, использующие IPSec

извлекает исходную дейтаграмму IP и передает ее системе адресата. Главное преимущество
туннельного режима заключается в том, что не требуется модифицировать конечные сис-
системы, чтобы обеспечить им возможность использования IPSec. Туннельный режим также
не позволяет противнику анализировать поток данных. При обмене в туннельном режиме
противник имеет возможность определить только конечные точки туннеля, но не истин-
истинных источника и адресата проходящих через туннель пакетов, даже если конечные точки
туннеля находятся как раз в системах источника и адресата.
Туннельный режим
Новый IP HDR
IPSec HDR
IP HDR
Данные
IP HDR
<
Данные
11ифруется *-
Рис. 15.4. Пакеты туннельного режима
Схема на рис. 15.5 иллюстрирует транспортный режим. Здесь шифруется только полез-
полезный груз IP, а исходный заголовок IP остается нетронутым. Добавляется заголовок IPSec.
Преимуществом этого режима является добавление только нескольких байтов к каждому
пакету. Кроме того, устройства открытой сети могут видеть истинные адреса отправителя и
получателя пакета. Это позволяет использовать специальные возможности промежуточных
сетей (например, гарантированное качество сервиса), основанные на информации в заго-
заголовке IP. Однако заголовок уровня 4 шифруется, что ограничивает возможности анализа
пакета. К сожалению, передача заголовка IP в открытом виде в транспортном режиме по-
позволяет нарушителю в определенной мере выполнить анализ потока данных. Например,
нарушитель может выяснить, сколько пакетов было передано сторонами IPSec, действую-
действующими в транспортном режиме. Но нарушитель может узнать только о том, что пакеты IP
пересылались. Он не сможет определить, были ли они сообщением электронной почты
или каким-то другим приложением, если использовался протокол ESP.
Транспортный режим
IPHDR
Данные
IPHDR
IPSec HDR
Данные
-*— Шифруется—*~
Рис. 15.5. Транспортный режим
Использование туннельного и транспортного режимов
Рассмотрим несколько примеров, иллюстрирующих правила выбора туннельного или
транспортного режима. На рис. 15.6 показаны ситуации, в которых используется тун-
туннельный режим. Этот режим чаще всего используется для шифрования потока данных
между шлюзами защиты IPSec — например, между маршрутизатором Cisco и брандмау-
Глава 15. Поддержка IPSec в сетях Cisco
525

эром PIX Firewall, как в примере А на рис. 15.6. Шлюзы IPSec выполняют функции
IPSec для устройств, находящихся за такими шлюзами (на указанном рисунке это пер-
персональный компьютер Алисы и серверы HR). В примере А Алиса получает защищенный
доступ к серверам HR через туннель IPSec, установленный между шлюзами.
Туннельный режим используется и для связи конечных станций, в которых вы-
выполняется программное обеспечение IPSec, например для связи клиента CiscoSecure
VPN и шлюза IPSec, как показано в примере Б на рис. 15.6.
В примере В туннельный режим применяется для создания туннеля IPSec между
маршрутизатором Cisco и сервером, на котором выполняется программное обеспече-
обеспечение IPSec. Обратите внимание на то, что в программном обеспечении Cisco IOS и
брандмауэра PIX Firewall туннельный режим для связей IPSec является режимом, ус-
устанавливаемым по умолчанию.
Транспортный режим используется между конечными станциями, поддерживающи-
поддерживающими IPSec, или между конечной станцией и шлюзом, если шлюз интерпретируется как
хост. На рис. 15.7 показан пример Г, иллюстрирующий применение транспортного ре-
режима для создания шифрованного туннеля IPSec от компьютера Алисы, на котором вы-
выполняется программное обеспечение клиента Microsoft Windows 2000, к концентратору
Cisco VPN 3000, что позволяет Алисе использовать Ь2ТР-туннель над IPSec.
Туннельный режим
Б.
Туннельный режим
KoMfibicrrep
Алисы
HR-серверы
В.
Туннельный режим
Рис. 15.6. Использование туннельного режима
Использование АН и ESP
В определенных ситуациях проблема выбора между АН и ESP может показаться
сложной для решения, но ее можно упростить, если следовать нескольким правилам.
Если вам необходимо знать, что данные из идентифицированного источника передают-
передаются без нарушения целостности, а их конфиденциальность обеспечивать не требуется,
используйте протокол АН, который защищает протоколы высших уровней и поля заго-
526
Часть VI. Виртуальные частные сети, использующие IPSec

ловка IP, не изменяемые в пути. Защита означает, что соответствующие значения нельзя
изменить, потому что это будет обнаружено второй стороной IPSec и любая модифици-
модифицированная дейтаграмма IP будет отвергнута. Протокол АН не обеспечивает защиту от
прослушивания канала и просмотра нарушителем заголовка и данных. Но поскольку
заголовок и данные незаметно изменить нельзя, измененные пакеты отвергаются.
Г.
Транспортный режим
Компьютер
Алисы
HR-серверы
Рис. 15.7. Использование транспортного режима
Если необходимо сохранить данные в тайне (обеспечить конфиденциальность), ис-
используйте ESP. Данный протокол предполагает шифрование протоколов высших уровней
в транспортном режиме и всей исходной дейтаграммы IP в туннельном режиме, так что
извлечь информацию о пакетах путем прослушивания канала передачи невозможно. Про-
Протокол ESP может также обеспечить для пакетов сервис аутентификации. Однако при ис-
использовании ESP в транспортном режиме внешний оригинальный заголовок IP не защи-
защищается, а в туннельном режиме не защищается новый заголовок IP. При использовании
IPSec пользователи скорее применят туннельный режим, чем транспортный.
Ассоциации защиты
Ассоциация защиты IPSec представляет собой соединение между сторонами IPSec,
определяющее, какие сервисы IPSec доступны между сторонами, подобно порту TCP
или UDP. Каждая сторона IPSec поддерживает в памяти базу данных ассоциаций за-
защиты, содержащую параметры ассоциаций защиты. Ассоциации защиты однозначно
идентифицируются своими индексами SPI (Security Parameter Index — индекс пара-
параметров защиты). Вашей задачей является выбор параметров ассоциаций защиты и
контроль ассоциаций защиты в продуктах Cisco.
Ассоциации защиты IPSec устанавливаются в быстром режиме второй фазы IKE.
Каждое преобразование АН и ESP получает собственную пару ассоциаций защиты
IPSec. Каждая сторона IPSec разрешает установить ассоциации защиты, определяемые
параметрами политики защиты, которые будут использоваться в ходе сеансов IPSec.
Ассоциации защиты для IPSec являются односторонними, так что сторона 1 будет
предлагать свою политику защиты стороне 2. Если сторона 2 принимает политику
стороны 1, эта политика будет отправлена назад стороне 1. В результате между сторо-
сторонами создаются две односторонние ассоциации защиты. Двухсторонняя связь склады-
складывается из двух ассоциаций защиты — по одной для каждого направления.
Каждая ассоциация защиты состоит из таких значений, как, например, адрес по-
получателя, индекс SPI, преобразования IPSec для данного сеанса, ключи защиты и до-
Глава 15. Поддержка IPSec в сетях Cisco 527

полнительные атрибуты типа максимального времени существования связи IPSec. Ас-
Ассоциации защиты каждой стороны имеют уникальные значения индекса SPI, которые
записываются в базах данных параметров защиты сторон.
На рис. 15.8 показан пример набора параметров ассоциации зашиты для двух сторон
IPSec — маршрутизаторов Cisco, обозначенных R1 и R2. Обратите внимание на то, что ка-
каждая ассоциация защиты IPSec является односторонней и параметры ассоциации защиты
должны быть одинаковы для обеих сторон IPSec. Конфигурация параметров ассоциации
защиты выбирается системным администратором, эти параметры согласуются в быстром
режиме второй фазы IKE и сохраняются в базе данных ассоциаций защиты.
R1
R2
outbound esp sas:
spi: 0x1 B781456{ 460854358)
transform: eps-des,
in use settings = {Tunnel, f
slot: 0, conn id: 17,
crypto map:mymap
sa timing: (k/sec)
replay detection support: N
inbound esp sas:
spi: 0X18781456D60854358)
transform: eps-des,
in use settings = {Tunnel, f
slot: 0, conn id: 17,
crypto map:mymap
sa timing: (k/sec)
replay detection support: N
inbound esp sas:
spi: 0x8AE1C9CA45628316)
transform: eps-des,
in use settings = {Tunnel, f
slot: 0, conn id: 18,
crypto map:mymap
sa timing: (k/sec)
replay detection support: N
outbound esp sas:
spi: 0х8АЕ1С9СA45628316)
transform: eps-des,
in use settings = {Tunnel, }
slot: 0, conn id: 18,
crypto map:mymap
sa timing: (k/sec)
replay detection support: N
Рис. 15.8. Пример набора параметров ассоциации защиты IPSec
В табл. 15.1 предлагаются описания параметров ассоциации защиты, показанной
на рис. 15.8.
Параметр ассоциации защиты
Описание
outbound esp sas: spi:
0xlB781456D60854358)
transform: esp-des
in use settings ={Tunnel, }
slot: 0, conn id: 17, crypto map:
mymap
sa timing: (k/sec)
replay detection support: N
Индекс SPI, отвечающий входящему индексу SPI второй стороны
для соответствующей ассоциации защиты
Преобразованием IPSec режима ESP должен быть алгоритм DES
Режим преобразования IPSec должен быть туннельным
Выбор криптографического модуля Cisco I0S и криптографиче-
криптографической карты
Максимальное время существования ассоциации защиты в кило-
килобайтах и секундах
Обнаружение воспроизведения, которое может быть включено
или выключено
528
Часть VI. Виртуальные частные сети, использующие IPSec

ПреобразованияIPSec
Как уже упоминалось в этой главе, преобразование IPSec задает один протокол
защиты IPSec (АН или ESP) с соответствующими алгоритмами и режимом. Преобра-
Преобразование АН предлагает механизм аутентификации полезного груза, а преобразование
ESP — метод шифрования полезного груза. На рис. 15.9 показаны возможные комби-
комбинации преобразований.
IPSec
ESP
DES или
3DES
1
НМАС-МО5или
HMAC-SHA
Туннельный или
транспортный
1
АН
НМАС-МО5или
HMAC-SHA
Туннельный или
транспортный
Рис. 15.9. Преобразования IPSec
Вот несколько примеров преобразований.
• Протокол АН, применяемый в туннельном режиме для аутентификации и ис-
использующий НМАС с алгоритмом аутентификации MD5.
• Протокол ESP, применяемый в транспортном режиме для обеспечения конфи-
конфиденциальности данных и использующий алгоритм шифрования 3DES.
• Протокол ESP, применяемый в туннельном режиме для обеспечения аутенти-
аутентификации и конфиденциальности и использующий алгоритм шифрования DES с
56-битовым ключом и НМАС с алгоритмом аутентификации SHA.
Стандарт DES
В IPSec используется алгоритм DES с 56-битовым ключом и алгоритм 3DES с 168-
битовым ключом для шифрования данных в рамках протокола ESP и обеспечения
конфиденциальности данных в процессе обмена IKE.
Самой главной характеристикой криптографического алгоритма является его за-
защищенность от взлома. Защищенность криптосистемы (или сложность задачи выяс-
выяснения содержимого открытого текста для нарушителя) является функцией нескольких
переменных. В большинстве протоколов надежность защиты практически полностью
зависит от защищенности секретного ключа, используемого для шифрования данных.
Алгоритм DES построен так, что без наличия такого ключа определить открытый
текст исключительно трудно. В любой криптосистеме большая длина ключей выбира-
выбирается именно для того, чтобы обеспечить секретность ключей шифрования.
После того как две стороны IPSec получат общий секретный ключ, они могут ис-
использовать его для обмена данными с помощью алгоритмов шифрования DES или
3DES. Но даже зашифрованные с помощью DES данные могут быть расшифрованы на-
Глава 15. Поддержка IPSec в сетях Cisco
529

рушителем, если у него будет достаточно вычислительных ресурсов и времени для вы-
вычисления ключей. Если ключ будет открыт, каждый пакет, который был зашифрован
этим ключом, может быть легко расшифрован нарушителем. Частое изменение общих
секретных ключей сторонами уменьшает вероятность того, что нарушитель сможет рас-
расшифровать данные, так как у него будет меньше времени на то, чтобы вычислить ключ,
и соответственно меньше данных может быть открыто, если ключ будет нарушителем
все же вычислен. В алгоритме DES используются 56- и 168-битовые ключи.
На рис. 15.10 показано, как работает алгоритм DES. Компонентами системы шифрова-
шифрования DES являются алгоритмы шифрования и дешифрования, соответствующие секретные
ключи сторон и вводимые для шифрования открытые данные. Основой DES является ал-
алгоритм шифрования. Общий секретный ключ подается на вход алгоритма. Данные откры-
открытого текста подаются на вход алгоритма блоками фиксированной длины, которые в резуль-
результате обработки превращаются в шифрованный текст. Шифрованный текст передается вто-
второй стороне IPSec по протоколу ESP. Получившая пакет ESP сторона извлекает
шифрованный текст, обрабатывает его с помощью алгоритма дешифрования и получает
открытый текст, идентичный введенному шифрующей стороной.
IPSec
IPSec
Отправитель
Открытый
текст
Шифрование
DES/3DES
1
Общий
секретный
ключ
Шифрованное
сообщение
Дешифрование
DES/3DES
t
Общий
секретный
ключ
Получатель
Открытый
текст
Рис. 15.10. Операции DES
Алгоритм DES
Алгоритм DES был разработан специалистами IBM на заре 70-х годов. Агентство
национальной безопасности (NSA) США внесло некоторые изменения в алгоритм,
одобрило его для широкого использования и опубликовало. Алгоритм DES и сегодня
считается очень надежным (до сих пор никто не смог опровергнуть это). Однако при
его использовании благоразумно периодически менять ключи.
Алгоритм DES использует 56-битовый ключ, обеспечивающий достаточно быстрое
шифрование. DES используется для шифрования и дешифрования пакетов данных;
он преобразует открытый текст в шифрованный с помощью алгоритма шифрования.
Алгоритм дешифрования на удаленном конце соединения восстанавливает открытый
текст. Такое шифрование и дешифрование становится возможным благодаря исполь-
использованию общих секретных ключей. DES является симметричным алгоритмом шифро-
шифрования, а это значит, что обе участвующие в обмене стороны должны использовать
одинаковые 56-битовые секретные ключи.
DES представляет собой алгоритм блочного шифрования, т.е. обработка данных
выполняется блоками фиксированной длины F4 бит). Для алгоритма шифрования в
530
Часть VI. Виртуальные частные сети, использующие IPSec

устройствах Cisco используется режим CFB (режим шифрованной обратной связи),
который дает дополнительные гарантии целостности получаемых данных. Алгоритм
DES действует следующим образом.
1. DES получает поток данных для шифрования и преобразует его в последователь-
последовательность 64-битовых блоков.
2. DES выполняет начальную перестановку битов блока, а затем разделяет блок на
две 32-битовые части. К одной из полученных частей применяется сложная, за-
заданная с помощью таблиц подстановка, зависящая от ключа, а результат связыва-
связывается операцией XOR (исключающее "ИЛИ") со второй частью битов блока. Такое
преобразование называется раундом и повторяется 16 раз. После каждого раунда
две 32-битовые части меняются местами.
3. По завершении последнего раунда выполняется завершающая перестановка. По-
Полученный в результате шифрованный текст представляет собой набор битов, каж-
каждый из которых зависит от каждого бита вводимых данных и каждого бита ключа.
"Тройной" DES
Алгоритм 3DES тоже поддерживается протоколами шифрования для IPSec в продуктах
Cisco и является вариантом алгоритма DES с 56-битовым ключом. 3DES действует анало-
аналогично DES, разбивая данные на 64-битовые блоки. Затем 3DES обрабатывает каждый блок
три раза; каждый раз с новым (независимым от двух других) 56-битовым ключом. Алго-
Алгоритм 3DES практически утраивает стойкость шифрования в сравнении с 56-битовым алго-
алгоритмом DES. 3DES является алгоритмом симметричной схемы шифрования.
Протокол IKE
IKE является гибридным протоколом, объединяющим методы обмена ключами
Oakley и SKEME в рамках протокола ISAKMP (Internet Security Association and Key
Management Protocol — протокол управления ассоциациями и ключами защиты в сети
Internet). IPSec использует IKE для аутентификации сторон, управления созданием и
обработкой ключей, используемых алгоритмом DES и алгоритмами хэширования, а
также для согласования параметров ассоциаций защиты IPSec.
IPSec можно использовать и без IKE, но IKE расширяет возможности IPSec, обес-
обеспечивая дополнительную гибкость и удобство настройки стандарта IPSec. Использо-
Использование протокола IKE обеспечивает следующие преимущества.
• Исключается необходимость вручную описывать все параметры ассоциации за-
защиты для обеих сторон IPSec.
• Существует возможность защищенного выбора ключей для использования
обеими сторонами.
• Можно указать максимальное время существования для ассоциации защиты IPSec.
• Можно менять ключи шифрования в ходе сеансов IPSec.
• Существует возможность использовать в рамках IPSec сервис защиты от вос-
воспроизведения.
• Обеспечивается поддержка центров сертификации, что открывает широкие
возможности управления и масштабирования IPSec.
• Возможна динамическая аутентификация сторон.
Глава 15. Поддержка IPSec в сетях Cisco 531

Стандарты IKE
В рамках протокола IKE используются следующие методы и алгоритмы.
• ISAKMP. Рамочный протокол, определяющий форматы полезного груза, а так-
также механизмы осуществления протокольного обмена ключами и согласования
параметров ассоциаций защиты.
• Oakley. Протокол обмена ключами, определяющий процедуру извлечения ау-
тентифицированного материала для ключей.
• SKEME. Протокол обмена ключами, определяющий процедуру извлечения ау-
тентифицированного материала для ключей и быстрого обновления ключей.
• DES. Алгоритм шифрования, используемый для шифрования пакетов данных,
чтобы гарантировать конфиденциальность данных при обмене IKE. Для IKE в
продуктах Cisco используются DES с 56-битовым ключом и 3DES.
• Алгоритм Диффи-Хеллмана. Построенный на применении открытых ключей,
криптографический протокол, который позволяет сторонам создавать общие
секретные ключи, используя незащищенные каналы связи. Алгоритм Диффи-
Хеллмана используется в рамках IKE для создания сеансовых ключей.
• MD5 и SHA (вариант НМАС). Алгоритмы хэширования, используемые для ау-
аутентификации пакетов данных в процессе обмена IKE.
• Подписи RSA и шифрованные оказии. Подписи RSA обеспечивают невозможность
создания ложной информации, а шифрованные оказии RSA (случайные числа, ис-
используемые в алгоритмах шифрования) гарантируют обнаружение ложной инфор-
информации. Они используются в рамках IKE для аутентификации сторон.
• Сертификаты X.509v3. Цифровые сертификаты, используемые протоколом IKE
для аутентификации открытых ключей. Поддержка сертификатов открывает
возможность масштабирования защищенных сетей, обеспечивая эквивалент
цифровой идентификационной карты для сетевых устройств. Когда двум уст-
устройствам требуется связь, они обмениваются цифровыми сертификатами, дока-
доказывающими их аутентичность (тем самым исключается необходимость вручную
обмениваться открытыми ключами взаимодействующих сторон или вручную
указывать общий ключ для каждой стороны).
Фазы IKE
В рамках IKE согласуются параметры ассоциаций защиты как для IKE, так и для
IPSec и соответствующие процессы формируют две фазы, для которых допускаются
различные режимы.
• Первая фаза IKE. Ведутся переговоры о параметрах ассоциаций защиты IKE.
• Вторая фаза IKE. Ведутся переговоры о параметрах ассоциаций защиты IPSec.
Подробнее указанные фазы IKE были описаны выше в подразделах "Шаг 2. Пер-
Первая фаза IKE" и "Шаг 3. Вторая фаза IKE".
Аутентификация IKE
Потенциальные участники сеанса IPSec должны идентифицировать себя, чтобы
процесс IKE мог продолжаться дальше. Аутентификация сторон выполняется в про-
процессе обмена первой фазы IKE в основном режиме. Протокол IKE очень гибок и в
рамках первой фазы поддерживает множество методов аутентификации. Сообщаю-
532 Часть VI. Виртуальные частные сети, использующие IPSec

щиеся стороны должны договориться об общем протоколе аутентификации в резуль-
результате некоторого переговорного процесса. В настоящее время для этого в продуктах
Cisco реализованы механизмы использования заранее согласованных общих ключей,
шифрованных с помощью RSA оказий и подписей RSA.
• Заранее согласованные ключи. Одинаковые, заранее согласованные ключи зада-
задаются в конфигурации каждой стороны IPSec. Стороны IKE выполняют аутен-
аутентификацию друг друга, вычисляя зависящий от ключа хэш-код данных, вклю-
включающих значение согласованного ключа, и посылая вычисленное значение вто-
второй стороне. Если принимающая сторона может независимо создать такой же
хэш-код с помощью своего заранее согласованного ключа, значит, обе стороны
использовали один общий секретный ключ, и вторая сторона считается иден-
идентифицированной. Заранее согласовать общие ключи легче, чем вручную на-
настраивать параметры политики IPSec в устройствах каждой из сообщающихся
сторон IPSec, хотя согласование общих ключей и создает трудности при мас-
масштабировании, поскольку в этом случае стороны IPSec должны иметь общие
ключи для каждой из сторон, с которой возможен обмен данными.
• Оказии, шифрованные по методу RSA. Метод криптографии с открытым ключом
требует, чтобы каждая сторона генерировала псевдослучайное значение
(оказию) и шифровала его с помощью открытого ключа RSA второй стороны.
Для аутентификации сторона-получатель должна дешифровать оказию (а также
другую открытую и секретную информацию) второй стороны с помощью своего
личного ключа, чтобы затем использовать дешифрованное значение оказии при
вычислении хэш-кода. Эта система допускает спорные транзакции. Другими
словами, любая участвующая в обмене сторона имеет возможность впоследст-
впоследствии отрицать свое участие в обмене. Программное обеспечение Cisco IOS явля-
является единственным продуктом Cisco, использующим шифрованные с помощью
RSA оказии для аутентификации IKE. Для создания таких оказий используется
алгоритм RSA шифрования с открытым ключом.
• Подписи RSA. С помощью цифровых подписей сетевые устройства подписыва-
подписывают данные, отправляемые другой стороне. Этот метод подобен предыдущему,
но он обеспечивает невозможность отречения. Для аутентификации подписей
RSA и извлечения значений секретных ключей предполагается использование
центра сертификации. При создании подписей RSA используется алгоритм RSA
шифрования с открытым ключом.
Конфигурация режима IKE
Конфигурация режима IKE (mode config) является свойством IPSec, позволяющим
шлюзу загрузить IP-адрес (и другие параметры конфигурации сетевого уровня) для
клиента в рамках переговорной процедуры IKE. При этом шлюз предоставляет IP-
адреса клиенту IPSec во многом подобно тому, как сервер DHCP (Dynamic Host
Configuration Protocol — протокол динамической конфигурации хоста) присваивает
IP-адреса удаленному клиенту. Адрес, предоставляемый процедурой конфигурации
режима, называется внутренним IP-адресом и используется в заголовках пакетов (TCP
или UDP) до шифрования. Следующие шаги описывают процедуру присваивания IP-
адреса клиенту IPSec в указанном режиме (рис. 15.11).
1. Удаленный пользователь соединяется с сетью своего поставщика услуг Internet
(ISP). Адаптер удаленного доступа (или сетевая интерфейсная карта) присваивает
Глава 15. Поддержка IPSec в сетях Cisco 533

IP-адрес с помощью средств DHCP поставщика услуг Internet (на рис. 15.11 это
адрес 172.16.2.121).
2. Клиент IPSec определяет трафик для шифрования и начинает первую фазу обме-
обмена IKE с шлюзом IPSec.
3. Шлюз IPSec использует режим mode config, чтобы присвоить внутренний IP-
адрес 10.1.1.82 из пула IP-адресов для клиентов. Внутренний адрес используется
для пакетов до начала шифрования.
4. Клиент IPSec шифрует пакет с помощью ESP. В заголовке ESP используется ад-
адрес источника 172.16.2.121. Адресатом пакета ESP является хост 172.16.1.2, шлюз
IPSec или конечная точка туннеля.
5. Шлюз IPSec получает пакет, дешифрует его и использует внутренний адрес для
заголовка IP дешифрованного пакета. Дешифрованный пакет направляется в
корпоративную сеть серверу приложений 10.1.1.100.
Удаленный
клиент
IPSec
Сервер
доступа
ISP
Пакет ESP
IP-адрес сетевого _
адаптера
172.16.2.121
IP-адрес клиента.
10.1.1.82
172.16.2.121
172.16.1.2
ESP
10.1.1.82
10.1.1.100
ДАННЫЕ
IP-адрес
"шлюза IPSec
172.16.1.2
Сервер
приложений
10.1.1.100
Рис. 15.11. Действие режима mode config
Режим mode config обеспечивает для клиента IP-адрес, который согласуется с по-
политикой IPSec и может использоваться для того, чтобы связать дешифрованный поток
с внутренней сетью предприятия.
Режим mode config поддерживается программным обеспечением Cisco IOS, брандмау-
брандмауэром CiscoSecure PIX Firewall и клиентом CiscoSecure VPN. Например, используя режим
mode config, вы можете настроить брандмауэр PIX Firewall на загрузку IP-адреса клиенту в
рамках процедуры IKE. Режим mode config имеет статус проекта стандарта IETF.
Расширенная аутентификация IKE
Расширенная аутентификация IKE (XAuth) позволяет добавить к аутентификации
IPSec аутентификацию удаленных пользователей. Эта возможность реализуется с по-
помощью запроса удостоверений пользователей и их проверки путем сравнения с ин-
534
Часть VI. Виртуальные частные сети, использующие IPSec

формацией, хранящейся в удаленной базе данных защиты, в результате чего в рамках
VPN обеспечивается аутентификация, авторизация и аудит (т.е. сервис ААА).
Двухфакторная аутентификация и схемы вызова/ответа типа SecurelD SDI и
RADIUS являются вариантами аутентификации, позволяющими шлюзу, брандмауэру
или серверу сетевого доступа возложить выполнение задачи администрирования и ау-
аутентификации пользователя на удаленную базу данных защиты (например, на систему
CiscoSecure ACS или сервер SecurelD Асе).
Протокол IKE не предлагает средств аутентификации пользователя. XAuth использу-
использует IKE для передачи идентифицирующей пользователя информации (имени и пароля)
шлюзу IPSec в защищенном сообщении IKE. Шлюз использует соответствующим обра-
образом настроенный протокол (RADIUS, SecurelD или одноразовый пароль), чтобы иден-
идентифицировать пользователя с помощью удаленной базы данных защиты. Это позволяет
переложить задачу управления именами пользователей и паролями на удаленную базу
данных защиты, размещенную внутри частной сети, защищенной шлюзом IPSec.
Параметры XAuth согласуются между первой и второй фазами IKE одновременно с
выполнением процедуры mode config. Аутентификация выполняется с помощью дос-
доступной системы аутентификации TACACS+ или RADIUS. Возможность XAuth акти-
активизируется с помощью команды crypto шар.
Согласование ключей по схеме Диффи-Хеллмана
Процедура согласования ключей по схеме Диффи-Хеллмана основывается на ме-
методе шифрования с открытым ключом и позволяет двум сторонам IPSec создать об-
общий секретный ключ, который будут знать только они, хотя соответствующий обмен
данными выполняется по незащищенным каналам связи.
В рамках схемы Диффи-Хеллмана каждая из сторон генерирует криптографиче-
криптографическую пару ключей (открытый и личный). Свой личный ключ каждая из сторон долж-
должна хранить в секрете и никогда не использовать совместно с кем-то еще. Открытый
ключ вычисляется каждой из сторон с помощью личного ключа и сообщается другим
сторонам по незащищенным каналам. Каждая из сторон объединяет открытый ключ
другой стороны со своим личным ключом и вычисляет общее для двух сторон секрет-
секретное значение. Это общее секретное значение конвертируется в общий секретный
ключ, который затем используется для шифрования данных с помощью алгоритмов
шифрования, заданных ассоциациями защиты IPSec (например, DES или MD5). При
этом общий секретный ключ никогда не пересылается по незащищенным каналам.
Следующее пошаговое описание объясняет, как работает алгоритм Диффи-Хеллмана.
1. Процесс Диффи-Хеллмана начинается с генерирования каждой стороной боль-
большого простого целого числа, р или д. Каждая сторона посылает свое простое чис-
число второй стороне по незащищенному каналу. Например, сторона А посылает
число р стороне В. Каждая сторона затем использует значения р и q, чтобы вы-
вычислить первообразный корень g числа р. Действия, выполняемые сторонами,
представлены в табл. 15.2.
2. Каждая сторона генерирует личный ключ Диффи-Хеллмана (сторона А генериру-
генерирует Ха, а сторона В — Хь), используя для этого значения р и g. Соответствующие
действия сторон представлены в табл. 15.3.
3. Каждая сторона генерирует открытый ключ Диффи-Хеллмана. Локальный лич-
личный ключ комбинируется с простым числом р и его первообразным корнем g,
Глава 15. Поддержка IPSec в сетях Cisco 535

чтобы получить открытый ключ Ya для стороны А и открытый ключ Yb для сторо-
стороны В. Соответствующей формулой для стороны А является Ya = g^X, mod р.
Формулой для стороны В является Yb = ^X,, mod p. Здесь символ А означает воз-
возведение в степень (g в степени X,), a mod — сравнение по модулю или деление.
Возведение в степень с точки зрения вычислений является дорогой операцией.
Соответствующие действия сторон представлены в табл. 15.4.
^Таблица 15,2. Пери'ы»
Действия стороны А
Действия стороны В
' Генерирование большого простого числа р
¦ Отправка числа р стороне В
¦ Получение числа q
¦ Генерирование д
> Генерирование большого простого числа q
¦ Отправка числа q стороне А
¦ Получение числа р
¦ Генерирование д
Действие стороны А
Действие стороны В
Генерирование личного ключа Ха
Генерирование личного ключа Хь
Действие стороны А
^ЖГ^1 - . :«:-¦¦
нХеллмана
Действие стороны В
Генерирование открытого ключа:
Ya = g"Xa mod p
Генерирование открытого ключа:
Yb = g"Xb mod p
4. Происходит открытый обмен открытыми ключами Ya и Yb, как показано в
табл. 15.5.
Действие стороны А
*иффи-Хеллмана
Действие стороны В
Отправка открытого ключа Ya стороне В
Отправка открытого ключа Yb стороне А
5. Каждая сторона генерирует общее секретное значение (ZZ), комбинируя откры-
открытый ключ, полученный от второй стороны, со своим личным. Соответствующей
формулой для стороны А является ZZ = (УЬАХ„) mod p. Формулой для стороны В
есть ZZ = (YaAXb) mod р. Значения ZZ идентичны для обеих сторон. Если кто-то
знает значение р или g или открытые ключи Диффи-Хеллмана, он не сможет уга-
угадать или с легкостью вычислить общее секретное значение; главным образом из-
за того, что трудной является задача разложения на множители больших простых
чисел. Значение ZZ также называется значением SKEYID_d — именно такой
идентификатор используется для него в документе RFC 2409, описывающем про-
протокол IKE. Соответствующие шагу 5 действия сторон представлены в табл. 15.6.
6. Общие секретные ключи генерируются из общего секретного значения ZZ для
использования с алгоритмами DES или НМАС, как показано в табл. 15.7.
536
Часть VI. Виртуальные частные сети, использующие IPSec

Таблица 15.6. Пятый i
ш.
Действие стороны А
Действие стороны В
Генерирование общего секретного значения:
ZZ = (VX.) mod р
Генерирование общего секретного значения:
21 = (УЛь) mod р
Действие стороны А
Действие стороны В
Генерирование общего секретного ключа из секрет- Генерирование общего секретного ключа из секрет-
секретного значения 11 E6-битового для DES, 168- ного значения 11 E6-битового для DES, 168-
битового для 3DES) битового для 3DES)
Алгоритм Диффи-Хеллмана выполняется в основном режиме первой фазы IKE,
чтобы получить исходный ключевой материал и сгенерировать оказии для аутентифи-
аутентификации и регенерации ключей. Этот алгоритм может также выполняться в быстром ре-
режиме второй фазы IKE, чтобы генерировать новый ключевой материал для ассоциа-
ассоциаций защиты IPSec путем комбинации новых значений оказий с существующим мате-
материалом для ключей.
Значения оказий посылаются второй стороне IPSec с целью аутентификации. Оказии
подписываются и возвращаются, чтобы проверить их тождество (они подписываются толь-
только тогда, когда предполагается аутентификация с помощью шифрованных оказий или
подписей RSA), что обеспечивает идентификацию обмена Диффи-Хеллмана
Опция PFS
Обновление значений общих секретных ключей шифрования происходит в быстром
режиме второй фазы IKE. Такое обновление предполагает комбинирование существую-
существующего ключа с некоторым случайным числом (значением оказии) с целью создания нового
ключа по методу Диффи-Хеллмана. Опция PFS заставляет систему повторить вычисление
общего секретного ключа с самого начала, снова генерируя пару открытого/личного клю-
ключей и используя процесс Диффи-Хеллмана. Причиной повторного вычисления является
стремление не дать нарушителю возможности найти конкретный секретный ключ и ском-
скомпрометировать все данные, шифрованные этим ключом. Опция PFS позволяет вычислить
новый ключ, никак не связанный с предыдущим.
Коды НМАС
Коды НМАС (Hashed Message Authentication Code — хэшированный код аутентичности
сообщения) используются в IPSec для того, чтобы гарантировать целостность и аутенти-
аутентификацию данных в ходе обеих фаз обмена IKE и для АН-пакетов IPSec. НМАС обеспечи-
обеспечивает механизм идентификации сообщений на основе использования криптографических
функций хэширования и личных ключей. Алгоритм или функция хэширования "сжимает"
поступающее на вход сообщение переменной длины, выдавая на выходе хэш-код фикси-
фиксированной длины. Хэш-код сообщения может затем использоваться в качестве "профиля",
идентифицирующего данное сообщение. Считается практически невозможным обратить
хэширование, т.е. восстановить исходное сообщение по его хэш-коду. Функции хэширо-
хэширования выполняются быстро, а получаемые в результате хэш-коды оказываются надежно
Глава 15. Поддержка IPSec в сетях Cisco
537

защищенными, поскольку односторонние функции очень трудно (если вообще возможно)
обратить. Основными алгоритмами хэширования, используемыми в IPSec, являются крип-
криптографически защищенные функции хэширования MD5 и SHA-1.
Алгоритмы хэширования используются при вычислении кодов НМАС, объединяющих
доказанную защищенность алгоритмов хэширования с дополнительными криптографиче-
криптографическими функциями. Вычисленный хэш-код шифруется личным ключом отправителя, в ре-
результате чего получается зависящая от ключа контрольная сумма. На рис. 15.12 показано,
как работает НМАС. Функция хэширования получает на входе секретный ключ и откры-
открытый текст произвольной длины, которому требуется аутентификация. Длина секретного
ключа равна длине данных, получаемых на выходе функции хэширования. Алгоритм
НМАС дает на выходе контрольную сумму фиксированной длины для вводимых данных.
Значение контрольной суммы посылается с сообщением как подпись. Принимающая сто-
сторона выполняет алгоритм НМАС на тех же данных сообщения, которые вводились отпра-
отправителем, используя тот же секретный ключ, и должна получить хэш-код, идентичный то-
тому, который был получен с сообщением.
Сообщение
переменной длины
Общий
секретный ключ
Сообщение
в открытом виде
Хэшированная
контрольная сумма
Значение аутентификатора
фиксированной длины
Рис. 15.12. Действие НМАС
Целостность данных и аутентификация источника данных зависят от надежности
хранения секретного ключа. Если ключ известен только отправителю и получателю
сообщения и вычисленное получателем значение НМАС оказывается правильным, то
можно быть уверенным, что полученное сообщение действительно было отправлено
указанным отправителем.
538
Часть VI. Виртуальные частные сети, использующие IPSec

Спецификации IPSec предполагают использование HMAC-MD5 и HMAC-SHA-1 в
качестве кодов НМАС для IKE и IPSec.
HMAC-MD5-96
Протокол IPSec использует технологию шифрования HMAC-MD5-96 (НМАС-
MD5), чтобы не допустить изменения сообщений в пути. В HMAC-MD5 используется
функция хэширования MD5, разработанная Рональдом Райвестом (Ronald Rivest) из
Массачусетсского технологического института (MIT) и RSA Data Security Incorporated.
Эта функция хэширования описана в документе RFC 1321.
HMAC-MD5 использует 128-битовый секретный ключ и дает на выходе 128-
битовое значение-аутентификатор. Это 128-битовое значение усекается до первых 96
бит. Усеченное значение сохраняется в поле аутентификатора АН или ESP-HMAC.
Получатель вычисляет полное 128-битовое значение, и первые 96 бит сравниваются с
значением, сохраненным в поле аутентификатора.
Как было недавно выяснено, сам алгоритм MD5 уязвим в отношении атак поиска
коллизий. Но обнаруженная атака и другие известные в настоящий момент недостат-
недостатки MD5 не компрометируют защищенность HMAC-MD5, так как сценарии атак про-
против HMAC-MD5 пока не известны. HMAC-MD рекомендуется применять тогда, ко-
когда важной оказывается скорость работы MD5 по сравнению с SHA-1.
HMAC-SHA-1-96
Протокол IPSec использует технологию шифрования HMAC-SHA-1-96 (HMAC-SHA-
1), чтобы не допустить изменения сообщений в пути. В HMAC-SHA-1 используется
функция SHA-1 (описанная в документе FIPS-190-1) в комбинации с алгоритмом НМАС
(см. RFC 2104). Соответствующие спецификации содержатся в документе RFC 2404.
HMAC-SHA-1 использует 160-битовый секретный ключ и дает на выходе 160-
битовое значение-аутентификатор. Это 160-битовое значение усекается до первых 96
бит. Усеченное значение сохраняется в поле аутентификатора АН или ESP-HMAC.
Получатель вычисляет полное 160-битовое значение, и первые 96 бит сравниваются с
значением, сохраненным в поле аутентификатора.
Алгоритм SHA-1 считается криптографически более стойким, чем MD5, но для его
выполнения требуется больше процессорных ресурсов. HMAC-SHA-1 рекомендуется
применять тогда, когда оказывается важной более высокая надежность SHA-1 по
сравнению с MD5.
Защита RSA
IPSec использует криптосистему RSA с открытым ключом для аутентификации в
первой фазе IKE. Систему RSA создали в 1977 году Рон Райвест (Ron Rivest), Ади
Шамир (Adi Shamir) и Леонард Адлеман (Leonard Adleman). В первой фазе IKE ис-
используется два варианта системы RSA: подписи RSA, используемые с центрами сер-
сертификации и позволяющие масштабирование сетей IPSec, и шифрованные оказии
RSA, используемые при малом числе взаимодействующих сторон IPSec.
Система RSA генерирует пару ключей (открытый и личный) для каждой стороны
IPSec. Открытый ключ может быть передан по незащищенной сети и используется
всеми, кто хотел бы установить связь IPSec с соответствующей стороной. Личный
ключ известен только соответствующей стороне IPSec и используется для дешифрова-
дешифрования данных. Шифрование и аутентификация выполняются без использования соот-
Глава 15. Поддержка IPSec в сетях Cisco 539

ветствующего личного ключа: каждая из сторон использует только открытый ключ
другой стороны или свой собственный личный ключ. Любой может отправить шиф-
шифрованное сообщение или проверить подписанное сообщение, но только владелец со-
соответствующего личного ключа может дешифровать или подписать сообщение.
Система RSA работает следующим образом (рис. 15.13).
1. Открытый текст сообщения, которое необходимо зашифровать, и открытый ключ
получателя подаются на вход алгоритма шифрования RSA.
2. На выходе алгоритма получается шифрованный текст, который передается стороне В.
3. Сторона В получает шифрованный текст и подает его вместе со своим личным
ключом RSA на вход алгоритма дешифрования RSA.
4. На выходе получается открытый текст, который должен соответствовать открыто-
открытому тексту, введенному стороной А.
Отправитель
Открытый
текст
Сторона А
Сторона В
Шифрование
Шифрованное
сообщение
Дешифрована
Получатель
Открытый
текст
Открытый
ключ получателя
Личный
ключ получателя
Рис. 15.13. Действие RSA
Протокол IKE использует алгоритм RSA в продуктах Cisco для того, чтобы идентифи-
идентифицировать участвующие в обмене стороны с помощью подписей RSA и шифрования RSA.
В первой фазе IKE могут использоваться заранее согласованные общие ключи,
подписи RSA или шифрование RSA для аутентификации обмена первой фазы. В ос-
основном режиме материал для ключей генерируется в результате обмена Диффи-
Хеллмана, который должен быть аутентифицирован. В первых двух сообщениях ос-
основного режима согласуются параметры политики IKE, в следующих двух происходит
обмен открытыми значениями Диффи-Хеллмана и другими данными (например, зна-
значениями оказий), необходимыми для обмена, а в последних двух сообщениях исполь-
используется RSA для аутентификации обмена Диффи-Хеллмана. Метод аутентификации за-
задается в конфигурации устройств Cisco заранее и является предметом переговоров в
процессе начального обмена IKE.
Подписи RSA
Подпись RSA использует значение оказии и идентификатор IKE, и обмен аутен-
тифицируется с помощью добавления хэш-кода, который может быть вычислен обеи-
обеими сторонами. Именно возможность вычислить хэш-код для оказии и идентификато-
идентификатора обеими сторонами аутентифицирует соответствующий обмен. Подписи RSA ис-
используются по следующей схеме.
540
Часть VI. Виртуальные частные сети, использующие IPSec

1. Каждой стороной с помощью команд конфигурации генерируются пары ключей
подписи RSA. Выполняется обмен открытыми ключами RSA и их аутентифика-
аутентификация, а с помощью сервера сертификации получаются сертификаты сторон.
2. Сторона А посылает свой идентификатор IKE и подписанный цифровой серти-
сертификат стороне В в ходе первой фазы IKE. Сторона В посылает аналогичные дан-
данные стороне А. Подписанный цифровой сертификат аутентифицирует обмен IKE.
Оказии, шифрованные с помощью RSA
В первой фазе IKE для аутентификации обмена первой фазы могут использоваться
шифрованные с помощью RSA оказии. Генерируемый в основном режиме материал
для ключей получается в результате обмена Диффи-Хеллмана, который должен быть
аутентифицирован. В первых двух сообщениях основного режима согласуются пара-
параметры политики IKE, в следующих двух происходит обмен открытыми значениями
Диффи-Хеллмана и другими данными (например, значениями оказий), необходимы-
необходимыми для обмена, а в последних двух сообщениях используется RSA для аутентифика-
аутентификации обмена Диффи-Хеллмана, если шифрование RSA было выбрано в качестве мето-
метода аутентификации в ходе начального обмена IKE.
В самом простом виде при использовании шифрования RSA для аутентификации об-
обмена IKE выполняется шифрование значения оказии и идентификатора IKE, и получен-
полученное значение отправляется второй стороне. Способность обеих сторон вычислить хэш-код
для оказии и идентификатора аутентифицирует соответствующий обмен. Рассмотрим сле-
следующие шага, описывающие действия, выполняемые при шифровании RSA.
1. Каждой стороной с помощью команд конфигурации генерируются пары ключей под-
подписи RSA. Открытые ключи RSA доставляются второй стороне специальным спосо-
способом (на дискете или в сообщении электронной почты) и вводятся в систему каждой
из сторон с помощью команд конфигурации. Обратите внимание на то, что подобная
установка ключей вручную ограничивает возможности масштабирования.
2. Сторона А шифрует свое значение оказии и идентификатор IKE с помощью RSA, ис-
используя открытый ключ RSA стороны В, чтобы передать ей шифрованные данные.
3. Сторона В шифрует свое значение оказии и идентификатор IKE с помощью RSA,
используя открытый ключ RSA стороны А.
4. Обе стороны обмениваются шифрованными значениями.
5. Сторона А дешифрует полученный шифрованный текст, используя личный ключ
RSA, и извлекает значение оказии и идентификатор стороны В. Затем сторона А
вычисляет хэш-код для этих значений оказии и идентификатора и передает его
стороне В.
6. Сторона В дешифрует полученный шифрованный текст, используя личный ключ
RSA, и извлекает значение оказии и идентификатор стороны А. Затем сторона В
вычисляет хэш-код для этих значений оказии и идентификатора и передает его
стороне А.
7. Сторона А выполняет хэширование своего значения оказии и идентификатора,
чтобы сравнить полученное значение с хэш-кодом, переданным стороной В. Если
хэш-коды совпадают, сторона В считается аутентифицированной.
8. Сторона В выполняет хэширование своего значения оказии и идентификатора,
чтобы сравнить полученное значение с хэш-кодом, переданным стороной А. Если
хэш-коды совпадают, сторона А считается аутентифицированной.
Глава 15. Поддержка IPSec в сетях Cisco 541

Шифрование RSA является очень надежным, поскольку оно аутентифицирует не
только обмен IKE, но и обмен Диффи-Хеллмана.
Инфраструктура открытых ключей
и поддержка центров сертификации
Масштабируемость IPSec, т.е. возможность создавать большие сети IPSec
(состоящие более чем из 100 узлов), была одной из самых больших проблем реализа-
реализации шифрования сетевого уровня. Технология цифровых сертификатов обеспечивает
устройствам такой метод аутентификации друг друга, который допускает его распро-
распространение на очень большие сети.
Многие организации в настоящее время используют инфраструктуру открытых
ключей (Public Key Infrastructure — PKI) для управления цифровыми сертификатами
для множества приложений, включая приложения VPN, защиты электронной почты,
защищенного Web-доступа и многие другие приложения защиты. Реализация IPSec в
продуктах Cisco совместима с продуктами других ведущих производителей систем
PKI. Это позволяет выбрать систему PKI, лучше всего подходящую для вашей кон-
конкретной сети, и быть уверенным, что эта система будет совместима с сетевыми реше-
решениями защиты Cisco.
Центры сертификации (Certification Authority — СА) позволяют осуществлять масшта-
масштабирование защищенных с помощью IPSec сетей, обеспечивая каждому сетевому устройст-
устройству нечто подобное цифровой идентификационной карте. Когда две стороны IPSec намере-
намереваются наладить связь, они обмениваются цифровыми сертификатами, чтобы идентифи-
идентифицировать себя. Цифровые сертификаты можно получить от центра сертификации.
Поддержка центров сертификации в продуктах Cisco предполагает использование подпи-
подписей RSA, удостоверяющих обмен данными с центром сертификации.
При наличии центра сертификации нет необходимости вносить в конфигурацию
данные о ключах всех сторон IPSec. Вместо этого все стороны самостоятельно регист-
регистрируются в центре сертификации, а другие получают возможность запросить нужный
сертификат. Получая сертификат из центра сертификации, каждая из участвующих в
обмене сторон получает возможность динамической аутентификации всех других сто-
сторон. Чтобы добавить в сеть IPSec новый узел, достаточно только зарегистрировать его
в центре сертификации (запросить сертификат), а не вносить многочисленные изме-
изменения в конфигурации всех других уже существующих сторон IPSec.
На рис. 15.14 показано, как каждая из сторон IPSec в индивидуальном порядке
регистрируется в сервере СА (сервер сертификации).
Серверы сертификации (серверы СА) управляют запросами на получение сертифи-
сертификатов и выдачей сертификатов для участвующих в обмене данными сторон IPSec.
Серверы сертификации упрощают процесс администрирования узлов IPSec с помо-
помощью централизации системы управления ключами. Можно использовать сервер СА в
сети, включающей множество поддерживающих IPSec устройств, таких как брандмау-
брандмауэры PIX Firewall, маршрутизаторы Cisco, клиенты Cisco Secure VPN и поддерживаю-
поддерживающие IPSec продукты других производителей.
Цифровые подписи, использующие методы криптографии с открытым ключом,
обеспечивают возможность цифровой аутентификации устройств и отдельных пользо-
пользователей. В системах криптографии с открытым ключом, в частности в системе шиф-
542 Часть VI. Виртуальные частные сети, использующие IPSec

рования RSA, каждый пользователь имеет пару ключей, состоящую из открытого и
личного ключей. Эти ключи являются взаимно дополняющими — все, что зашифро-
зашифровано одним ключом, можно расшифровать другим. Проще говоря, подпись формиру-
формируется путем шифрования некоторых данных с помощью личного ключа отправителя.
Получатель проверяет подпись, дешифруя сообщение с помощью открытого ключа
отправителя. Тот факт, что сообщение может быть дешифровано с помощью откры-
открытого ключа отправителя, доказывает, что данное сообщение создано владельцем соот-
соответствующего личного ключа, т.е. указанным отправителем. Этот процесс зависит от
наличия у получателя экземпляра открытого ключа отправителя и знания того, что с
высокой степенью уверенности данный экземпляр ключа принадлежит отправителю, а
не кому-то, кто желает выдать себя за него.
т
Брандмауэр PIX
Маршрутизатор Cisco
Сервер сертификации
Другой узел IPSec
Рис. 15.14. Сервер СА, выполняющий запросы сооб-
сообщающихся сторон IPSec
Цифровые сертификаты обеспечивают такую уверенность; они содержат информа-
информацию, позволяющую идентифицировать участвующую в обмене сторону IPSec. Цифро-
Цифровой сертификат представляет собой документ определенного формата, содержащий
такую информацию, как, например, имя, порядковый номер, название компании,
подразделения или IP-адрес организации. Сертификат также содержит экземпляр от-
открытого ключа соответствующей стороны. Сам сертификат подписывается центром
сертификации — некоторой третьей стороной, которой получатель сертификата пол-
полностью доверяет идентифицировать узлы и выдавать цифровые сертификаты.
При использовании цифровых сертификатов возникает одна проблема. Чтобы про-
проверить подпись центра сертификации, получатель должен иметь его открытый ключ.
Глава 15. Поддержка IPSec в сетях Cisco
543

Открытый ключ содержится в корневом сертификате центра сертификации, который
устанавливается в системе IPSec в процессе настройки ее параметров сертификации и
регистрации в соответствующем центре СА.
Протокол IKE, являющийся одним из основных компонентов IPSec, может исполь-
использовать цифровые подписи для того, чтобы идентифицировать устройства перед создани-
созданием ассоциаций защиты. В результате обеспечивается возможность масштабирования.
Когда сторона IPSec регистрируется в центре сертификации, центр выдает ей цифровое
удостоверение. Стороны обмениваются этими удостоверениями в первой фазе IKE, ис-
используя их для аутентификации аналогично заранее согласованным общим ключам.
Цифровое удостоверение проверяется с помощью открытого ключа центра сертифика-
сертификации, содержащегося в корневом сертификате. Инфраструктура сертификатов опирается
на ряд стандартов, которые будут обсуждаться в следующем разделе.
Стандарты центров сертификации
Маршрутизаторы Cisco, клиент Cisco Secure VPN и брандмауэры PIX Firewall под-
поддерживают следующие открытые стандарты центров сертификации.
• IKE. Гибридный протокол, реализующий подходы Oakley и SKEME в процедурах
обмена ключами в рамках ISAKMP. IKE обеспечивает аутентификацию сторон
IPSec, а также согласование ключей и параметров ассоциаций защиты IPSec. IKE
может использовать цифровые сертификаты для аутентификации сторон.
• PKCS #7 (Public-Key Cryptography Standard #7 — стандарт криптографии с откры-
открытым ключом #7). Стандарт, предлагаемый компанией RSA Data Security, Inc. Ис-
Используется для шифрования и подписи сообщений регистрации сертификатов.
• PKCS #10 (Public-Key Cryptography Standard #10 — стандарт криптографии с от-
открытым ключом #10). Предлагаемый компанией RSA Data Security, Inc., стан-
стандарт синтаксиса запросов сертификатов.
• Ключи RSA. RSA является криптосистемой с открытым ключом, созданной
Райвестом, Шамиром и Адлеманом. Ключи RSA существуют парами: один от-
открытый и один личный.
• Сертификаты X.509v3. Этот стандарт определяет формат содержимого сертифи-
сертификатов открытых ключей, представляющих собой структуры данных, связываю-
связывающие значения открытых ключей со стандартными объектами. Поддержка сер-
сертификатов позволяет расширить защищенные с помощью IPSec сети путем вы-
выдачи "цифровых идентификационных карт" устройствам, добавляемым к сети.
Если двум устройствам необходимо установить связь, они обмениваются циф-
цифровыми сертификатами, чтобы идентифицировать себя (это исключает необхо-
необходимость обмениваться открытыми ключами с каждой из сторон или вручную
указывать общие ключи для каждой стороны). Соответствующие сертификаты
выдаются центром сертификации. Стандарт Х.509 является частью стандарта
Х.500, созданного Международным союзом телекоммуникаций (ITU). Некото-
Некоторыми элементами сертификатов являются уникальный порядковый номер, ал-
алгоритм хэширования для подписи, открытый ключ RSA и срок действия.
• SCEP (Simplified Certification Enrollment Protocol — упрощенный протокол регист-
регистрации сертификатов). Протокол взаимодействия центров сертификации, позво-
позволяющий поддерживающим этот протокол узлам IPSec получать и использовать
544 Часть VI. Виртуальные частные сети, использующие IPSec

цифровые сертификаты соответствующего центра сертификации. Использова-
Использование протокола SCEP сторонами IPSec и серверами сертификации обеспечивает
управляемость и масштабирование поддержки центров сертификации.
• Списки CRL (Certificate Revocation Lists — списки отзыва сертификатов). Центры
сертификации поддерживают списки CRL, являющиеся сертификатами специ-
специального типа со списками сторон IPSec, сертификаты которых были отозваны и
не считаются более действительными. Стороны IPSec могут получить список
CRL от центра сертификации. Необходимо проверять список CRL при каждой
попытке создать новую ассоциацию защиты IKE, чтобы быть уверенным в том,
что соответствующая вторая сторона является действительной.
• Центры регистрации (Registration Authority — RA). Некоторые центры сертифи-
сертификации содержат в своем составе центр регистрации (RA). По сути, он является
прокси-сервером центра сертификации, обеспечивающим выполнение функций
центра сертификации даже тогда, когда он переходит в автономный режим.
Работа центра сертификации с SCEP
Стороны IPSec регистрируются в центре сертификации по протоколу SCEP еще до
применения протокола IKE, использующего цифровые сертификаты. Каждая сторона
IPSec, поддерживающая SCEP, имеет программное обеспечение клиента PKI, выпол-
выполняющее процедуру регистрации узла в центре сертификации по протоколу SCEP свя-
связи типа "клиент-сервер". Процесс регистрации узла в центре сертификации состоит
из следующих действий.
1. Администратор узла настраивает IPSec и IKE для поддержки центра сертифика-
сертификации и создает пару ключей RSA (открытый и личный).
2. Узел получает открытый ключ центра сертификации (в составе сертификата са-
самого центра сертификации при выполнении аутентификации вручную).
3. Узел посылает открытый ключ RSA и идентифицирующую его информацию цен-
центру сертификации.
4. Узел получает от центра сертификации удостоверение своего открытого ключа и
сертификат центра сертификации.
5. Дополнительно узел получает от центра сертификации самый последний список CRL.
После регистрации в центре сертификации, стороны обмениваются удостовере-
удостоверениями в процессе обмена IKE, таким образом обмениваясь открытыми ключами. Ка-
Каждый участник обмена проверяет аутентичность сертификата другой стороны с помо-
помощью открытого ключа центра сертификации и проверяет самый последний вариант
списка CRL. Затем в рамках обмена IKE могут быть установлены ассоциации защиты
IPSec и создан защищенный туннель для обмена данными между сторонами.
Поддержка сервера СА
Много поставщиков предлагают серверы СА или в виде устанавливаемого и управ-
управляемого пользователем программного обеспечения, или в виде управляемого сервиса
СА. Многие поставщики серверов СА предусматривают взаимодействие своих продук-
продуктов с VPN-продуктами Cisco на основе поддержки протокола SCEP. Cisco предлагает
программу Security Associate Program для тестирования новых решений защиты, ис-
использующих центры сертификации и систему PKI в рамках семейства продуктов Cisco
Глава 15. Поддержка IPSec в сетях Cisco 545

Secure. Подробная информация о Security Associate Program предлагается на странице
www.cisco.com/warp/customer/cc/so/neso/sqso/csap/index.shtml. Ниже предлагается список
поставщиков, продукты которых могут взаимодействовать с VPN-продуктами Cisco.
• Entrust Technologies предлагает Entrast/PKI 4.0 — сервер СА, поддерживающий
VPN-продукты Cisco с помощью протокола SCEP. Это программный продукт,
устанавливаемый и управляемый пользователем. Entrast/PKI 4.0 поддерживает
маршрутизаторы Cisco, клиент Cisco Secure VPN и брандмауэры PIX Firewall.
Он выполняется в системах на базе операционных систем Windows NT 4.0 (это
требуется для взаимодействия с продуктами Cisco), Solaris 2.6, HP-UX 10.20 и
AIX4.3. Более подробная информация по этому вопросу имеется на Web-
странице Entrust по адресу: www.entrust.com.
• VeriSign предлагает OnSite 4.5 — сервис, управляемый компанией VeriSign. Onsite 4.5
обеспечивает интегрированную систему PKI предприятия, осуществляющую кон-
контроль, выдачу сертификатов IPSec и управление ими для брандмауэров PIX Firewall
и маршрутизаторов Cisco, взаимодействующих через Internet. Для доступа к сервису
VeriSign пользователи должны оформить подписку. За более подробной информа-
информацией обращайтесь к Web-странице VeriSign (.www.verisign.com).
• Baltimore Technologies реализует поддержку SCEP в серверах UniCERT (сервер
СА компании Baltimore) и в пакете PKI Plus, что упрощает пользователям зада-
задачу регистрации VPN-продуктов Cisco. Текущая версия модуля СА UniCERT
доступна для Windows NT 4.0. За более подробной информацией по данному
вопросу обращайтесь к Web-странице Baltimore (www.baltimore.com).
• Microsoft Windows 2000 Certificate Services 5.0. Microsoft интегрирует поддержку
SCEP в сервере СА с помощью пакета Security Resource Kit для Windows 2000.
С помощью такой поддержки пользователи любых VPN-продуктов Cisco могут
использовать SCEP для получения сертификатов Microsoft Certificate Services и
информации об отозванных сертификатах. За более подробной информацией
по данному вопросу обращайтесь к Web-странице Microsoft {www.microsoft.com).
Потоки IKE и IPSec в программном
обеспечении Cisco IOS
Программное обеспечение Cisco IOS реализует и поддерживает IPSec. Как работа-
работает IPSec и какие команды при этом используются — показано на рис. 15.15. Процесс,
иллюстрируемый рисунком, предполагает, что уже созданы открытый и личный клю-
ключи и существует по крайней мере один список доступа. В ходе указанного процесса
выполняются следующие действия.
1. Программное обеспечение Cisco IOS использует расширенные списки доступа IP
(настраиваемые с помощью команды access-list), применяемые к некоторому
интерфейсу, и криптографическую карту, с помощью которой выбирается трафик
для шифрования. Программное обеспечение Cisco IOS проверяет, установлены ли
ассоциации защиты IPSec. Если ассоциация защиты уже создана вручную с по-
помощью команд crypto ipsec transform-set и crypto map или в результате процес-
процесса IKE, пакет шифруется в соответствии с политикой, определяемой криптогра-
криптографической картой, и передается соответствующему интерфейсу.
546 Часть VI. Виртуальные частные сети, использующие IPSec

2. Если ассоциация защиты еще не создана, программное обеспечение Cisco IOS прове-
проверяет, были ли сконфигурированы и установлены ассоциации защиты IKE. Если ассо-
ассоциация защиты IKE уже создана, то она управляет согласованием параметров ассо-
ассоциаций защиты IPSec в соответствии с политикой IKE, определенной серией команд
crypto isakmp. Затем пакет шифруется средствами IPSec и передается.
3. Если ассоциация защиты IKE еще не создана, программное обеспечение Cisco
IOS проверяет, была ли активизирована поддержка центров сертификации для
создания политики IKE. Если с помощью команд crypto ca и crypto isakmp
policy аутентификация СА активизирована, маршрутизатор обменивается цифро-
цифровыми удостоверениями со второй участвующей в обмене стороной. Он проверяет
удостоверение второй стороны, согласует параметры и создает ассоциацию защи-
защиты IKE (которая в свою очередь используется для создания ассоциаций защиты
IPSec), а затем шифрует и передает пакет.
Каждый пакет
IOS
Выбрать трафик в соответствии
соспискок±доступа_ _
IPSec
Один раз для ассоциации IPSec
(между источником и получателем)
нет
Передать
через интерфейс
да
Зашифровать
и передать пакет
нет
со списком доступа
да
IKE
Один раз для ассоциации
IKE (между двумя сторонами)
СА
Один раз для пары
ключей (личный/
открытый)
Ключи
Переговоры IPSec в
рамках ассоциации IKE
Переговоры со второй
стороной об ассоциации IKE
Получение открытого
ключа центра сертификации
Получение сертификата
для своего открытого ключа
Рис. 15.15. Операции IKE и IPSec и соответствующие команды конфигурации
Глава 15. Поддержка IPSec в сетях Cisco
547

Настройка шифрования IPSec
В этом разделе предлагается обзор задач, выполняемых в процессе настройки па-
параметров шифрования IPSec при наличии заранее согласованных общих ключей в
маршрутизаторах Cisco и брандмауэре PIX Firewall. Первая из этих задач обсуждается
в данном разделе подробно, поскольку она является общей для всех методов настрой-
настройки IPSec. В последующих главах будут представлены подробности того, как для под-
поддержки IPSec нужно настраивать маршрутизаторы Cisco и брандмауэр PIX Firewall.
• Задача 1. Подготовка к использованию IPSec. Данная задача включает определе-
определение деталей политики шифрования и методов создания ключей, идентифика-
идентификацию хостов и сетей, которые необходимо защитить, выяснение характеристик
сторон IPSec, возможностей IPSec, которые будут необходимы, а также провер-
проверку того, что существующие списки доступа, применяемые для фильтрования
пакетов, позволяют трафик IPSec.
• Задача 2. Настройка IKE. Эта задача предполагает активизацию средств IKE,
создание политики IKE и проверку правильности выбранной конфигурации.
• Задача 3. Настройка IPSec. Данная задача предполагает определение множеств
преобразований, создание списков шифрованного доступа (списков доступа, с
помощью которых определяется трафик для шифрования), криптографических
карт (шаблонов активизации политики IPSec) и применение криптографиче-
криптографических карт к интерфейсам, реализующим IPSec.
• Задача 4. Тестирование и контроль IPSec. Использование show, debug и других
аналогичных команд для проверки правильности функционирования IPSec и
решения возможных проблем.
В следующем разделе задача 1 (подготовка к использованию IPSec) обсуждается
подробно, поскольку она является обшей для всех вариантов настройки IPSec. Задачи
2-4 будут рассмотрены подробно в следующих главах.
• В главе 16 описываются возможности настройки IPSec в рамках Cisco IOS с
помощью заранее согласованных общих ключей.
• В главе 17 будут представлены возможности настройки IPSec в брандмауэре
PIX Firewall с помощью заранее согласованных общих ключей.
• В главе 18 рассматриваются возможности настройки IPSec в рамках Cisco IOS и
в брандмауэре PIX Firewall при поддержке центров сертификации. Там же будут
описаны дополнительные задачи, связанные с настройкой параметров поддерж-
поддержки центров сертификации.
Задача 1. Подготовка к использованию IPSec
Для успешного построения сети IPSec необходимо разработать соответствующий
план настройки каждой из сторон IPSec. Настройка шифрования IPSec может ока-
оказаться достаточно сложной задачей. Ее решение должно начинаться с определения
политики защиты IPSec, основанной на требованиях общей политики защиты (см.
образец политики защиты компании XYZ в приложении Б, "Политика сетевой заши-
зашиты компании XYZ"). Процедура планирования состоит из следующих шагов.
Шаг 1. Определение политики IKE взаимодействия сторон IPSec, в зависимости от
числа сторон и их размещения (первая фаза IKE).
548 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 2. Определение политики IPSec для учета параметров сторон IPSec, в частности
IP-адресов и режимов IPSec (вторая фаза IKE).
Шаг 3. Проверка текущей конфигурации с помощью команд write terminal, show
isakmp, show crypto map и других команд show.
Шаг 4. Проверка того, что сеть работает без шифрования.
Шаг 5. Проверка того, что списки доступа, используемые для фильтрования пакетов,
разрешают движение трафика IPSec в маршрутизаторах Cisco и брандмауэре
PIX Firewall.
В следующих разделах эти шаги рассматриваются подробнее.
Шаг 1. Определение политики IKE
Необходимо определить параметры политики IKE, чтобы сначала разрешить ис-
использование выбранного метода аутентификации, а затем настроить его параметры.
При наличии подробного плана снижается вероятность выбора неправильной кон-
конфигурации. От построенного вами плана зависят и действия, выполняемые в первой
фазе IKE, и соответствующий режим (основной или энергичный). Процесс планиро-
планирования должен включать следующие шаги.
• Определение метода распределения ключей. Выбор метода распределения ключей
зависит от числа и размещения сторон IPSec. Для малой сети можно распреде-
распределить ключи вручную. Для больших сетей можно использовать сервер СА для
распределения цифровых сертификатов, чтобы обеспечить возможность мас-
масштабирования сети IPSec. Затем необходимо настроить параметры IKE, чтобы
обеспечить поддержку выбранного метода распределения ключей.
• Определение метода аутентификации. Согласованный выбор метода аутентификации
зависит от метода распределения ключей. Маршрутизаторы Cisco для аутентифика-
аутентификации сторон IPSec поддерживают предварительно согласованные общие ключи,
шифрованные с помощью RSA оказии или подписи RSA. Брандмауэры PIX Firewall
поддерживают предварительно согласованные общие ключи или подписи RSA.
• Идентификация IP-адресов и имен хостов сторон IPSec. Определение параметров
всех сторон IPSec, которые собираются использовать IKE и заранее согласо-
согласованные общие ключи для создания ассоциаций защиты. Эта информация будет
использоваться в процессе настройки IKE.
• Определение политики IKE сторон. Политика IKE определяет комбинацию па-
параметров защиты, используемых в основном или энергичном режиме обмена
IKE. Любой обмен IKE требует согласия каждой из сторон с общей (т.е. ис-
используемой совместно) политикой IKE. Допустимые политики IKE необходимо
определить до начала настройки, чтобы средства IKE могли поддерживать на-
наборы параметров, согласованные в ходе переговоров.
Замечание
Помните о том, что IKE не является синонимом ISAKMP. Маршрутизаторы Cisco и
брандмауэры PIX Firewall называют свои команды IKE командами ISAKMP. Например,
параметры политики IKE в брандмауэре PIX Firewall можно проверить с помощью ко-
команды show isakmp policy. На самом же деле IKE является новым протоколом, ис-
использующим более старые протоколы ISAKMP и Oakley.
Глава 15. Поддержка IPSec в сетях Cisco 549

Создание политик IKE
Переговоры IKE должны быть защищены, поэтому каждый обмен IKE начинается
с согласования сторонами политики IKE, используемой сообщающимися сторонами
IPSec. Эта политика описывает параметры, применяемые для защиты последующих
сообщений согласования IKE.
Для каждой из сторон IPSec можно разрешить множество вариантов политики
IKE. После того как две стороны договорятся о приемлемой политике IKE, параметры
политики защиты определяются ассоциациями защиты IKE, созданными каждой сто-
стороной. От этих ассоциаций защиты зависит весь последующий трафик IKE, генери-
генерируемый в ходе переговоров согласования. Можно создать множество вариантов поли-
политики и назначить им приоритеты, чтобы быть уверенным в том, что по крайней мере
одна политика будет соответствовать политике удаленной стороны.
Перегоюры IKE начинаются в основном режиме перюй фазы IKE. IKE пытается най-
найти политику, подходящую для обеих сторон. Сторона, начавшая процесс согласования, по-
посылает все варианты своей политики удаленной стороне, которая, в сюю очередь, пытает-
пытается найти среди них подходящую для себя. Удаленная сторона ищет соответствие, сравни-
сравнивая сюю политику с наивысшим приоритетом с вариантами политики, прибывшими в
наборе IKE другой стороны. Удаленная сторона проверяет все сюи варианты политик в
порядке приоритета (от высшего к низшему), пока не будет обнаружено соответствие.
Соответствие означает, что два варианта политики содержат одинаковые значения
для шифрования, хэширования, аутентификации и параметров Диффи-Хеллмана и
политика удаленной стороны задает предел времени существования не меньший, чем
политика, с которой выполняется сравнение. (Если значения пределов времени не
равны, то используется меньшее значение.) Присваивайте меньшее значение иденти-
идентификатора той политике, которая обеспечивает более надежную защиту, чтобы при
сравнении первое совпадение давала политика наибольшей защиты.
Если соответствия при сравнении не найдено, IKE отказывается от дальнейших пере-
переговоров и связь IPSec не устанавливается. В противном случае IKE завершает основной
режим и в быстром режиме второй фазы IKE создаются ассоциации защиты IPSec.
Определение параметров политики IKE
В рамках стандарта IKE можно указать конкретные значения для каждого пара-
параметра IKE. Значения выбираются в зависимости от уровня защиты, который вы хоти-
хотите обеспечить, и типа стороны IPSec, с которой вы хотите наладить связь. В табл. 15.8
представлены пять параметров, определяющих политику IKE, а также результаты их
сравнения с точки зрения защиты.
Параметр
Возможное значение Более сильный вариант
Алгоритм шифрования сообщений
Алгоритм хэширования (гарантии целостности) сообщений
Метод аутентификации сторон
Параметры обмена ключами (идентификатор группы
Диффи-Хеллмана)
Максимальное время существования ассоциаций защиты IKE
DES
MD5
Предварительно согла-
согласованные общие ключи
Группа 1
Диффи-Хеллмана
86400 секунд
3DES
SHA-I
Шифрование RSA, под-
подпись RSA
Группа 2
Диффи-Хеллмана
Менее 86400 секунд
550
Часть VI. Виртуальные частные сети, использующие IPSec

Пример выбора параметров политики IKE для двух сторон
На рис. 15.16 показана упрощенная топология сети компании XYZ, используемая
в примерах этой главы.
Сайт1 Сайт 2
10.1.1.4 \ \ ^ *— / / 10.2.1.4
еО 192.168.1.1 sO 172.16.1.1 sO 172.16.2.1 еО 192.168.2.1
Рис. 15.16. Топология сети компании XYZ для IPSec
Шаг 2. Определение политики IPSec (вторая фаза IKE)
Планирование IPSec (вторая фаза IKE) является еще одним важным шагом, кото-
который необходимо выполнить до того, как приступить непосредственно к настройке
IPSec в маршрутизаторе Cisco. Элементы политики, которые должны быть определе-
определены на этой стадии, являются следующими.
• Выбор алгоритмов и параметров IPSec, дающих оптимальное соотношение сте-
степени защиты и скорости выполнения. Необходимо определить алгоритмы
шифрования IPSec (преобразования), которые будут использоваться для защиты
трафика. Некоторые алгоритмы IPSec требуют сделать выбор между высокой
скоростью выполнения и более надежной защитой.
• Параметры, идентифицирующие стороны IPSec. Необходимо выяснить IP-адреса и
имена хостов всех сторон IPSec, с которыми вы предполагаете наладить связь.
• Определение IP-адресов хостов и приложений, которым необходимо обеспечить
защиту в локальной и удаленной системах.
• Выбор метода создания ассоциаций защиты: вручную или посредством IKE.
Целью этого шага планирования является сбор данных, которые потребуются на
следующих шагах процесса, чтобы свести к минимуму возможность создания непра-
неправильной конфигурации.
Важной составляющей процесса определения политики IPSec является выяснение объ-
объекта IPSec, с которым должен связываться маршрутизатор Cisco или брандмауэр PIX
Firewall. Соответствующий объект должен поддержать IPSec в соответствии с документами
RFC, поддерживаемыми продуктами Cisco. Это могут быть объекты различных типов, и
перед вами стоит задача идентифицировать все существующие в вашем конкретном случае
возможности. Параметры политики IPSec для каждой стороны необходимо определить до
начала настройки IPSec. Возможными объектами IPSec могут быть следующие объекты:
• маршрутизаторы Cisco;
• брандмауэры PIX Firewall;
• клиент Cisco Secure VPN;
• концентраторы Cisco VPN серий 3000 или 5000;
• продукты других производителей, поддерживающие IPSec и соответствующие
документам RFC, определяющим спецификации IPSec.
Глава 15. Поддержка IPSec в сетях Cisco 551

Элементы политики IPSec, которые необходимо определить или выбрать, описаны
в табл. 15.9.
; Таблица 15.9. Параметры политики IPSec
Параметр IPSec Возможные значения
Набор преобразований AH-MD5 или AH-SHA, ESP-DES или ESP-3DES, ESP-MD5-HMAC или
ESP-SHA-HMAC
Режим IPSec Туннельный или транспортный
Алгоритм хэширования MD5 или SHA-I
Установка ассоциаций защиты ipsec-isakmp или ipsec-manual
Максимальное время существования kilobytes и/или seconds
ассоциаций защиты IPSec
PFS Группа 1, если используется ESP-DES, или группа 2, если исполь-
используется ESP-3DES
Интерфейс Интерфейс стороны (аппаратный или обратная связь)
IP-адрес стороны или имя хоста Задает IP-адрес сетевого устройства или имя хоста
IP-адрес хостов, требующих защиты Определяет хосты или сети, требующие защиты
Тип трафика, требующего шифрования Любой трафик, указанный расширенными списками доступа IP
Шаг 3. Проверка текущей конфигурации
Необходимо проверить текущую конфигурацию устройства Cisco, чтобы выяснить, не
было ли ранее создано политик IPSec, которые могут влиять на запланированную вами
конфигурацию IPSec. Ранее установленные параметры IKE и IPSec могут и должны ис-
использоваться с целью экономии времени, затрачиваемого на создание конфигурации. Но
ранее определенные параметры политики IKE и IPSec могут также влиять на политику,
которую вы планируете реализовать. Например, добавленная вами новая политика IKE
может быть отменена существующей, если последняя имеет более высокий приоритет. Не-
Необходимо тщательно проанализировать параметры уже существующих политик, основыва-
основываясь на ваших планах создания новой политики, чтобы быть уверенным, что будет реализо-
реализован именно тот вариант, который вы планируете.
Чтобы увидеть текущую конфигурацию, используйте команду write terminal (show
running config в маршрутизаторах Cisco). Можно также воспользоваться соответст-
соответствующими командами show (которые сейчас будут указаны), чтобы просмотреть пара-
параметры конфигурации IKE и IPSec. Проверить, были ли ранее определены политики
IKE, можно с помощью команды show crypto isakmp policy в маршрутизаторах Cisco
или show isakmp policy в брандмауэрах PIX Firewall.
Шаг 4. Проверка работоспособности сети
Перед тем как приступить к настройке шифрования IPSec в рамках Cisco IOS, сле-
следует убедиться, что сетевая связь между устройствами Cisco действительно существует.
В этом случае, хотя для проверки связности и достаточно использовать только запро-
запросы отклика ICMP (команда ping), необходимо убедиться в том, что сеть работает с
другими протоколами и портами, которым вы планируете обеспечить шифрование
(например, Telnet, FTP или SQL*NET). После активизации средств IPSec поиск про-
552 Часть VI. Виртуальные частные сети, использующие IPSec

блем связности может оказаться более сложным делом из-за возможности неправиль-
неправильной настройки защиты и невозможности анализировать шифрованные пакеты IPSec.
К отсутствию связности могут приводить предыдущие установки защиты.
Шаг 5. Проверка движения трафика IPSec через списки доступа
Маршрутизаторы периметра обычно реализуют ограничивающую политику защиты
с помощью списков доступа, в которых разрешается только трафик определенного ви-
вида, а весь остальной трафик отвергается. Такая ограничивающая политика блокирует
трафик IPSec, поэтому в список доступа необходимо добавить операторы permit, раз-
разрешающие прохождение трафика IPSec.
Убедитесь в том, что списки доступа не блокируют протоколы 50 и 51 и UDP-порт
500 на интерфейсах, используемых IPSec. Протокол IKE использует порт 500 UDP.
IPSec ESP связан с протоколом 50, а АН — с протоколом 51. В некоторых случаях
приходится добавлять подходящие операторы к спискам доступа маршрутизатора,
чтобы явно разрешить соответствующий трафик.
Набор команд списка доступа, разрешающего трафик IPSec для маршрутизатора А
от маршрутизатора В, показан в примере 15.1.
Пример 15.1. Список дс
RouterAjf show running-config
interface SerialO
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
access-list 101 permit ahp host 172.16.2.1 host 172.16.1.1
access-list 101 permit esp host 172.16.2.1 host 172.16.1.1
access-list 101 permit udp host 172.16.2.1 host 172.16.1.1 eq isakmp
Протокольное ключевое слово esp соответствует протоколу ESP (номер 50), ключе-
ключевое слово ahp — протоколу АН (номер 51), a isakmp — UDP-порту 500.
Кроме того, может потребоваться проверка брандмауэра PIX Firewall, чтобы убе-
убедиться в том, что списки доступа на его внешнем интерфейсе не блокируют трафик
IPSec. Чтобы просмотреть размещенные списки доступа, используйте команду show
access-list. Возможно, чтобы разрешить трафик IPSec, при этом в брандмауэр PIX
Firewall придется добавить соответствующие строки списка доступа (точно так же, как
объяснялось выше для маршрутизатора периметра). Набор команд списка доступа,
разрешающего трафик IPSec для брандмауэра PIX 1, показан в примере 15.2. Здесь
следует заметить, что адрес источника соответствует внешнему интерфейсу стороны, а
источником является внешний интерфейс брандмауэра PIX 1.
Пример 15.21 Список^
access-list 102 permit ahp host 192.168.2.2 host 192.168.1.2
access-list 102 permit esp host 192.168.2.2 host 192.168.1.2
access-list 102 permit udp host 192.168.2.2 host 192.168.1.2 eq isakmp
Глава 15. Поддержка IPSec в сетях Cisco 553

Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• IPSec представляет собой набор открытых протоколов защиты, объединенных с
целью создания защищенных масштабируемых сетей VPN.
• Двумя главными протоколами IPSec являются АН, который обеспечивает цело-
целостность и аутентификацию данных (но не конфиденциальность), и ESP, обес-
обеспечивающий все возможности АН, а также конфиденциальность данных с по-
помощью шифрования.
• Протокол IKE применяется для аутентификации сторон IPSec и упрощения про-
процесса создания секретных ключей, используемых алгоритмами шифрования IPSec.
• Процесс IKE имеет две фазы. В первой выполняется аутентификация сторон IPSec,
обеспечивается создание секретного ключа и устанавливается защищенный туннель
для второй фазы, в ходе которой создаются ассоциации защиты IPSec.
• Ассоциации защиты IPSec согласуются и создаются в быстром режиме второй
фазы IKE.
• Ассоциации защиты IPSec являются односторонними и определяют параметры
IPSec и секретные ключи, используемые в сеансах IPSec. Параметры ассоциа-
ассоциаций защиты IPSec сохраняются в динамической памяти в базе данных ассоциа-
ассоциаций защиты.
• Протокол IKE использует метод обмена ключами Диффи-Хеллмана в основном
режиме первой фазы IKE для создания защищенных секретных ключей, ис-
используемых алгоритмами шифрования IPSec.
• Коды НМАС типа HMAC-MD5 и HMAC-SHA-1 используются IKE и IPSec для
контроля целостности данных и аутентификации обмена данными.
• В IPSec для аутентификации сторон IPSec в течение первой фазы IKE поддер-
поддерживаются подписи RSA, шифрованные с помощью RSA оказии и заранее со-
согласованные общие ключи.
• Цифровые подписи, создаваемые с помощью методов криптографии с откры-
открытым ключом, позволяют выполнить цифровую аутентификацию сторон IPSec, a
также обеспечивают сетям IPSec гибкость и простоту расширения.
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. На какие протоколы опирается IPSec и какие сервисы обеспечивает каждый из
этих протоколов?
2. Какой из важных сервисов IPSec не обеспечивается протоколом АН?
3. В чем состоит различие между способами использования туннельного и транс-
транспортного режимов?
4. Что такое ассоциация защиты IPSec и как она создается?
554 Часть VI. Виртуальные частные сети, использующие IPSec

5. Можно ли настроить конфигурацию IPSec без использования IKE?
6. В чем заключаются преимущества использования IKE?
7. Что инициирует начало процесса IKE?
8. Каковы цели второй фазы IKE?
9. Что является главной целью использования центра сертификации?
10. Назовите пять основных шагов процесса IPSec?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Документы RFC, связанные с IPSec, предлагают детализированные определения
компонентов IPSec. Эти документы можно найти по адресу: www.ietf.org/html.charters/
ipsec-charter. html.
Проекты стандартов Internet являются рабочими документами IETF (Internet Engi-
Engineering Task Force — проблемная группа проектирования Internet). Проекты стандар-
стандартов Internet можно найти по адресу: www.ietf.org/html.charters/ipsec-charter.html.
Стандарты IPSec
RFC 2401. Kent S. and Atkinson R. Security Architecture for the Internet ProtocoF', No-
November, 1998.
RFC 2402. Kent S. and Atkinson R. IP Authentication Header, November, 1998.
RFC 2403. Madson С and Glenn R. The Use of HMAC-MD5-96 within ESP and AH,
November, 1998.
RFC 2404. Madson С and Glenn R. The Use ofHMAC-SHA-1-96 within ESP andAH,
November, 1998.
RFC 2405. Madson С and Doraswamy N. The ESP DES-CBC Cipher Algorithm with Ex-
Explicit IV, November, 1998.
RFC 2406. Kent S. and Atkinson R. IP Encapsulating Security Payload (ESP), November,
1998.
RFC 2410. Glenn R. The NULL Encryption Algorithm and Its Use with IPSec, November, 1998.
RFC 2411. Doraswamy N., Glenn R. and Thayer R. IP Security Document Roadmap,
November, 1998.
RFC 2451. Pereira R. and Adams R. The ESP 3DES CBC-Mode, November, 1998.
Шифрование
Doraswamy N., Metzger P. and Simpson W. A. The ESP Triple DES Transform, July,
1997, draft-ietf-ipsec-ciph-des3-00.txt.
FIPS-46-2. Data Encryption Standard, U.S. National Bureau of Standards Federal Infor-
Information Processing Standard (FIPS) Publication 46-2, December, 1993, www.itl.nist.gov/
div897/pubs/flp46-2.htm (заменил стандарт FIPS-46-1).
Глава 15. Поддержка IPSec в сетях Cisco 555

IKE
Litvin M., Shamir R. and Zegman T. A Hybrid Authentication Mode for IKE, December,
1999, draft-ietf-ipsec-isakmp-hybrid-auth-03.txt.
Pereira R., Anand S. and Patel B. The ISAKMP Configuration Method, August, 1999,
draft-ietf-ipsec-isakmp-mode-cfg-O5.txt.
Pereira R. and Beaulieu S. Extended Authentication within ISAKMP/Oakley (XAUTH),
December, 1999, draft-ietf-ipsec-isakmp-xauth-06.txt.
RFC 2407. Piper D. The Internet IP Security Domain of Interpretation of ISAKMP, No-
November, 1998.
RFC 2408. Maughan D., Schertler M., Schneider M. and Turner J. Internet Security As-
Association and Key Management Protocol (ISAKMP), November, 1998.
RFC 2409. Harkins D. and Carrel D. The Internet Key Exchange (IKE), November, 1998.
RFC 2412. Orman H. The OAKLEY Key Determination Protocol, November, 1998.
Алгоритмы хэширования
FIPS-180-1. Secure Hash Standard, National Institute of Standards and Technology, U.S.
Department of Commerce. April, 1995. Известен также как 9 Fed Reg 35317 A994)".
RFC 1321. Rivest R. The MD5 Message-Digest Algorithm, April, 1992.
RFC 2085. Glenn R. and Oehler M. HMAC-MD5 IP Authentication with Replay Preven-
Prevention, February, 1997.
RFC 2104. Krawczyk H., Bellare M. and Canetti R. HMAC: Keyed-Hashing for Message
Authentication, February, 1997.
Криптография с открытым ключом
RFC 2437. Kaliski В. and Staddon J. PKCS #1: RSA Cryptography Specifications, Octo-
October, 1998.
RFC 2631. Rescoria E. Diffie-Hellman Key Agreement Method, June, 1999.
Цифровые сертификаты и центры сертификации
Liu X., Madson С, McGrew D. and Nourse A. Cisco Systems' Simple Certificate Enroll-
Enrollment Protocol (SCEP), February, 2000, draft-nourse-scep-O2.txt.
RFC 2314. Kaliski B. PKCS #10: Certification Request Syntax Version 1.5, March, 1998.
RFC 2315. Kaliski B. PKCS #7: Cryptographic Message Syntax Version 1.5, March, 1998.
RFC 2459. Housley R. Internet X.509 Public Key Infrastructure Certificate and CRL Pro-
Profile, January, 1999.
Общие вопросы защиты
"Frequently Asked Questions About Today's Cryptography 4.0", RSA Laboratories, Red-
Redwood City, Calif, 1998. Этот список часто задаваемых вопросов с ответами раскрывает
математические основы криптографии, а также некоторые вопросы применения экс-
экспортного законодательства и защиты информации.
IPSec. "Белая книга" Cisco Systems, Inc., доступная по адресу: www.cisco.com/warp/
customer/cc/cisco/mkt/security/encryp/tech/ipsec_wp.htm. Для доступа к этой странице тре-
требуется указать учетное имя и пароль Cisco Connection Online.
Каео М. Designing Network Security, Cisco Press, 1999.
Schneier B. Applied Cryptography: Protocols, Algorithms and Source Code in C, Second
Edition, Wiley, 1995.
556 Часть VI. Виртуальные частные сети, использующие IPSec

шифро-;;,.д
Изучив материал данной iлани, r.i.i cmoal-k- нмполшш. l ic.i\ioiiicc.
• Описать
вания IPSec.
Ж
• Настроитавшрства шиЖования IPSecjiiporpaMMHoro обеспечения Cisco IOS,
испольлдаГззшнее согл^юванные ключ^рутентиC
Нас*ритьЖ)едства шдарования 1Е&ан№$и^рммного обеспечения Cisco IOS,
исйРгьзудаутентификадию сдщ|РЩью оказии, шифрованньтметодом RSA.
L-piiff. iip.ir.ii ]1.пб1!?ЙРработы средсШ IPSec прогоШшЖо обеспечения
ios щ, .„zM? ••'
pi
Р-"
Ш----.-:Шк
(Й1

Глава
16
Настройка Cisco IOS
для поддержки IPSec
¦лаве объясняется, как настроить средства IPSec программного обеспечения
•пользуя аутентификацию с помощью заранее согласованных общих клю-
шифрованных методом RSA. Сначала рассмотрим набор команд Cisco
х для настройки IPSec, а затем будут описаны действия, которые
,нить в процессе настройки. До того как приступить к изучению ма-
вы, вы должны ознакомиться с терминологией и принципами
IjPSec. Если требуется освежить соответствующие знания в памя-
главе 15, "Поддержка IPSec в сетях Cisco",
вными темами обсуждения являются настройка IPSec для ис-
;ласованных общих ключей и настройка IPSec для применения
помощью RSA. Здесь будут описаны возможности настройки
Cisco и соответствующие процедуры настройки. После этого
:ть настройку средств использования подписей RSA, о кото-
ти, щ
В
ПОЛЬЗО!
вркази
в
- ,|рл будете
рых пойдет
Настр
с общи
"Масштабирование сетей IPSec".
IPSec для работы
ючами
^в этом разделе йбрясЩяется, как настроить средства шифрования IPSec, используя
в маршрутизатора^!!^©/ заранее согласованные ключи аутентификации. В центре
внимания этого и&ел&будет настройка маршрутизатора Cisco на выполнение задач
шлщща защитьУП'ЗЗгс,^шифрующего и защищающего трафик сетей, находящихся за
использования заранее согласованных ключей IKE
IPSec настроить относительно легко, но указанный под-
ход|^прйемлем дДв|^тей с большим числом сторон IPSec. На рис. 16.1 показана уп-
йййная топологиЯ|Сети компании XYZ, используемая в примерах данной главы.
Сайт1
Сайт 2
-' 192.168.
sO 172.16.1.1
sO 172.16.2.1
192.168.2.0
Рис. 1611. Топология сети компании ХУ2для использования IPSec в маршрутизаторах Cisco

Процесс настройки средств Cisco IOS для использования заранее согласованных клю-
ключей IKE в маршрутизаторах Cisco предполагает решение следующих основных задач.
• Задача 1. Подготовка к использованию IPSec. Определение деталей политики
шифрования, идентификация хостов и сетей, которые необходимо защитить,
выяснение характеристик сторон IPSec, возможностей IPSec, которые будут не-
необходимы, а также проверка того, что существующие списки доступа, приме-
применяемые для фильтрования пакетов, позволяют использовать IPSec.
• Задача 2. Настройка IKE. Активизация средств IKE, создание политики IKE и
проверка правильности выбранной конфигурации.
• Задача 3. Настройка IPSec. Определение множеств преобразований, создание
списков шифрованного доступа и криптографических карт, а также применение
криптографических карт к соответствующим интерфейсам.
• Задача 4. Тестирование и контроль IPSec. Проверка правильности функциони-
функционирования IPSec с помощью show, debug и других аналогичных команд и решение
возможных проблем.
В следующих разделах каждая из этих задач конфигурации будет обсуждаться под-
подробно.
Задача 1. Подготовка к использованию IPSec
Перед тем как приступить непосредственно к настройке маршрутизаторов, для ус-
успешного построения сети IPSec требуется предварительное планирование. Планиро-
Планирование должно начинаться с определения политики защиты IPSec на основе требова-
требований общей политики защиты компании. Задача планирования подробно обсуждалась
в главе 15. В процессе планирования выполняются следующие основные шаги.
Шаг 1. Определение политики IKE взаимодействия сторон IPSec (первая фаза IKE), в
зависимости от числа сторон и их размещения.
Шаг 2. Определение политики IPSec для учета параметров сторон IPSec (вторая фаза
IKE), в частности IP-адресов и режимов IPSec.
Шаг 3. Проверка текущей конфигурации с помощью команд write terminal, show
isakmp, show crypto map и других команд show.
Шаг 4. Проверка работоспособности сети при отключенных средствах шифрования (с
помощью команд ping и направления нешифрованного трафика к месту на-
назначения).
Шаг 5. Проверка того, что списки доступа, определяющие фильтрацию пакетов, раз-
разрешают движение трафика IPSec.
В следующих разделах рассматриваются задачи, которые необходимо решить для
настройки средств IPSec в маршрутизаторах Cisco.
Задача 2. Настройка IKE для работы с общими
ключами
Следующей задачей настройки IPSec является выбор параметров IKE в соответст-
соответствии с той информацией о сети, которая была выяснена ранее. Процесс настройки IKE
состоит из следующих шагов.
560 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 1. Активизация или отключение IKE с помощью команды crypto isakmp enable.
Шаг 2. Создание политик IKE с помощью команд crypto isakmp policy.
Шаг 3. Выбор общих ключей с помощью команды crypto isakmp key и связанных с
ней команд.
Шаг 4. Проверка конфигурации IKE с помощью команды show crypto isakmp policy.
Ниже эти шаги будут описаны подробно.
Шаг 1. Активизация или отключение IKE
Первым шагом настройки IKE является активизация или отключение IKE. Активи-
Активизировать IKE глобально можно с помощью команды crypto isakmp enable, а отменить
использование IKE — с помощью той же команды с префиксом по. По умолчанию про-
протокол IKE активизирован. Этот протокол активизируется глобально для всех интерфей-
интерфейсов в маршрутизаторе, поэтому нет необходимости активизировать IKE для каждого ин-
интерфейса в отдельности. На интерфейсах, не используемых для IPSec, IKE можно от-
отключить с помощью операторов списка доступа, запрещающих использование UDP-
порта 500 (тем самым обеспечивается защита от атак блокирования сервиса).
Шаг 2. Создание политик IKE
Следующим шагом настройки IKE является определение набора политик IKE, исполь-
используемых при создании связей IKE между сторонами IPSec. Политика IKE определяет набор
параметров, которые могут использоваться в процессе переговоров согласования IKE.
В табл. 16.1 представлены элементы политики IKE, настройка которых будет обсу-
обсуждаться в примерах данного раздела.
I Таблица 16.1. Пример политики IKE для двух маршрутизаторов
Параметр Значение для маршрутизатора А Значение для маршрутизатора В
Алгоритм шифрования сообщений
Алгоритм гарантии целостности
(алгоритм хэширования) сообщений
Метод аутентификации сторон
Параметры обмена ключами
(идентификатор группы
Диффи-Хеллмана)
Предел времени существования ас-
ассоциаций защиты, установленных с
помощью ISAKMP
IP-адрес стороны IPSec
DES
MD5
Согласованный ключ
Группа 1 G68-битовый вариант
алгоритма Диффи-Хеллмана)
86400 (по умолчанию)
172.16.2.1
DES
MD5
Согласованный ключ
Группа 1 G68-битовый вариант
алгоритма Диффи-Хеллмана)
86400 (по умолчанию)
172.16.1.1
Определив параметры политики IKE, используйте команду crypto isakmp policy,
чтобы задать политику IKE, или команду no crypto isakmp policy, чтобы удалить со-
соответствующую политику. Указанная команда имеет следующий синтаксис,
crypto isakmp policy приоритет
Параметр команды описан в следующей таблице.
Глава 16. Настройка Cisco IOS для поддержки IPSec 561

Параметр команды Описание
приоритет Однозначно идентифицирует политику IKE, присваивая ей приоритет. Используйте це-
целое число от 1 до 10000, где 1 - наивысший приоритет, а 10000 — наименьший
Эта команда открывает режим конфигурации политики IKE (режим config-isakmp),
в котором можно устанавливать параметры IKE. Параметры устанавливаются с помо-
помощью ключевых слов, описания которых представлены в табл. 16.2. Если в режиме
config-isakmp вы не укажете какую-то из команд, для соответствующего параметра бу-
будет использоваться значение по умолчанию.
Ключевое
слово
Допустимые значения
ого режима config-isakmp
Значение по Описание
умолчанию
des
sha
md5
rsa-sig
rsa-encr
pre-share
1
2
lifetime
секунда
exit
56-битовый DES-CBC
SHA-1 (вариант НМАС)
MD5 (вариант НМАС)
Подписи RSA
Оказии, шифрованные методом RSA
Заранее согласованные ключи
768-битовый вариант алгоритма
Диффи-Хеллмана
1024-битовый вариант алгоритма
Диффи-Хеллмана
Любое число
des
sha
rsa-sig
1
86400 секунд
(одни сутки)
Алгоритм шифрования сообщений
Алгоритм гарантии целостности
(алгоритм хэширования) сообщений
Метод аутентификации сторон
Параметры обмена ключами
(идентификатор группы Диффи-
Хеллмана)
Предел времени существования ассо-
ассоциации защиты, установленной с по-
помощью IKE. Обычно можно оставить
значение, используемое по умолчанию
Выход из режима config-isakmp
В настройках каждой стороны IPSec можно указать несколько вариантов политики
IKE. Перед тем как приступить к согласованию параметров ассоциаций защиты
IPSec, стороны IKE "договариваются" о приемлемой политике IKE.
Пример конфигурации IKE для двух сторон
Рассмотрим примеры политики IKE для маршрутизаторов А (пример 16.1) и В
(пример 16.2). Заметим только, что 43200 секунд равняется 12 часам.
crypto isakmp policy 100
павп md5
authentication pre-share
crypto isakmp policy 200
authentication rsa-eig
group 2
lifetime 43200
562
Часть VI. Виртуальные частные сети, использующие IPSec

crypto isakmp policy 300
authentication rsa-encr
lifetime 10000
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp policy 200
authentication rsa-sig
group 2
lifetime 43200
crypto isakmp policy 300
authentication rsa-sig
lifetime 10000
Шаг З. Согласование общих ключей
Важным шагом процесса настройки средств поддержки IKE является установка
режима идентификации IKE и согласование ключей.
Установка режима идентификации
Стороны IPSec выполняют взаимную аутентификацию в ходе переговоров IKE с
помощью заранее согласованных общих ключей и идентификации объекта IKE.
Идентификатором объекта может быть IP-адрес маршрутизатора или имя хоста. Про-
Программное обеспечение Cisco IOS по умолчанию использует метод идентификации по
IP-адресу. Чтобы использовать идентификацию по имени хоста, введите команду гло-
глобальной конфигурации crypto isakmp identity. Воспользуйтесь этой командой с пре-
префиксом по, чтобы для идентификации IKE восстановить значение по умолчанию
(идентификация по адресу). Указанная команда имеет следующий синтаксис.
crypto isakmp identity {address | hostname}
Параметры команды описаны в следующей таблице.
Параметр команды Описание
address Задает идентификацию IKE no IP-адресу интерфейса, используемого в процессе согла-
согласования IKE для связи с удаленной стороной. Это ключевое слово указывают тогда, когда
для обмена IKE используется один интерфейс и известен IP-адрес этого интерфейса
hostname Задает идентификацию IKE по имени хоста в комбинации с именем домена
(например, myhost.domain.com). Это ключевое слово указывают тогда, когда для об-
обмена IKE могут использоваться несколько интерфейсов или IP-адрес интерфейса не-
неизвестен (например, при динамическом выборе IP-адресов)
Замечание
Команда crypto isakmp identity address отсутствует в конфигурации маршрутизато-
маршрутизатора, поскольку она используется по умолчанию.
Глава 16. Настройка Cisco IOS для поддержки IPSec 563

Если вы используете метод идентификации по имени хоста, в конфигурации мар-
маршрутизатора необходимо указать имя хоста удаленной стороны на случай, если сервер
DNS окажется недоступным. Это можно сделать, например, так, как предлагает сле-
следующая команда для маршрутизатора А.
RouterA(config)# ip host RouterB.domain.com 172.16.2.1
Выбор общих ключей
Выбор общих ключей аутентификации осуществляется с помощью команды crypto
isakmp key глобальной конфигурации. Ключ следует определять каждый раз, когда в
политике IKE указывается использование заранее согласованных общих ключей. Что-
Чтобы удалить общий ключ аутентификации, используйте команду с префиксом по. Син-
Синтаксис команды следующий:
crypto isakmp key ключ address адрес
crypto isakmp key ключ hostname имя-хоста
Параметры команды описаны в следующей таблице.
Параметр команды Описание
ключ Указывает значение общего ключа. Используйте любую комбинацию буквенно-
цифровых символов длиной до 128 байт. Значения общих ключей должны быть оди-
одинаковы в устройствах обеих сторон
address Используется тогда, когда выбрана идентификация IKE удаленной стороны по IP-адресу
адрес Описывает IP-адрес удаленной стороны
hostname Используется тогда, когда выбрана идентификация IKE удаленной стороны по имени хоста
имя-хоста Описывает имя хоста удаленной стороны. Это имя хоста, связанное с именем доме-
домена (например, myhost.domain.com)
Замечание
При использовании аутентификации IKE с согласованными общими ключами в уст-
устройствах обеих сторон IPSec должны быть указаны одинаковые значения ключей. На-
Настоятельно рекомендуется для разных пар сторон IPSec использовать разные общие
ключи. Использование одного ключа для нескольких пар IPSec потенциально риско-
рискованно и поэтому нежелательно.
Пример выбора общих ключей IKE
В примере 16.3 показан вариант настройки параметров IKE и ключей для маршрутиза-
маршрутизаторов А и В. Обратите внимание на то, что в обоих случаях для ключа используется одна и
та же строка WhatLighT. Указывается метод идентификации по адресу. Политики IKE яв-
являются совместимыми. Указывать значения по умолчанию не требуется.
RouterA(config)* crypto isakmp key WhatLighT address 172.16.2.1
RouterA(config)i crypto isakmp policy 100
RouterA(config-isakmp)(t hash md5
RouterA(config-isakmp)# authentication pre-share
564 Часть VI. Виртуальные частные сети, использующие IPSec

RouterA(config-isakmp)! exit
RouterB(config)! crypto isakmp key WhatLighT address 172.16.1.1
RouterB(config)! crypto isakmp policy 100
RouterB(config-isakmp)| hash md5
RouterB(config-isakmp)| authentication pre-share
RouterB(config-isakmp)I exit
Шаг 4. Проверка конфигурации IKE
Чтобы увидеть заданные в конфигурации и используемые по умолчанию парамет-
параметры политики, воспользуйтесь командой show crypto isakmp policy. Политика IKE для
маршрутизатора показана в примере 16.4; конфигурация для маршрутизатора В вы-
выглядит аналогично.
RouterAl show crypto isakmp
Protection suite of priority
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
Default protection suite
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
policy
100
DES~Data Encryption Standard E6 bit keys).
Message Digest 5
Pre-Shared Key
II G68 bit)
86400 seconds, no volume limit
DES—Data Encryption Standard E6 bit keys).
Secure Hash Standard
Rivest-Shamir-Adleman Signature
II G68 bit)
86400 seconds, no volume limit
Задача З. Настройка IPSec
Следующей задачей настройки IPSec в Cisco IOS является установка ранее опреде-
определенных параметров шифрования IPSec. Действия, которые необходимо выполнить для
этого в маршрутизаторах Cisco, являются следующими.
Шаг 1. Определение наборов преобразований с помощью команды crypto ipsec
transform-set.
Шаг 2. Установка глобальных пределов существования ассоциаций защиты IPSec с
помощью команды crypto ipsec security-association lifetime.
Шаг 3. Настройка списков доступа посредством команды access-list.
Шаг 4. Настройка криптографических карт с помощью команды crypto map.
Шаг 5. Применение криптографических карт к интерфейсам с помощью команд
interface и crypto map.
В табл. 16.3 представлены элементы политики IPSec, настройка которых будет об-
обсуждаться в примерах данного раздела. Поддерживаемые программным обеспечением
Cisco IOS преобразования IPSec будут обсуждаться позже.
Глава 16. Настройка Cisco IOS для поддержки IPSec
565

Параметр
Значение для стороны А
Значение для стороны В
Набор преобразований
Режим IPSec
Алгоритм хэширования
Имя удаленного хоста
Интерфейс
IP-адрес удаленной стороны
IP-адрес хостов, которые должны
быть защищены
Тип трафика для шифрования
Установка ассоциаций защиты
AH-MD5, ESP-DES
Туннельный
MD5
RouterB
Serial О
172.16.2.1
192.168.1.0
TCP
ipsec-isakmp
AH-MD5, ESP-DES
Туннельный
MD5
RouterA
Serial 0
172.16.1.1
192.168.2.0
TCP
ipsec-isakmp
Ниже каждый из этих шагов настройки IPSec будет обсуждаться подробнее.
Шаг1. Определение набора преобразований
Первым шагом настройки IPSec в Cisco IOS является использование политики за-
защиты IPSec для определения набора преобразований, представляющего собой совокуп-
совокупность конкретных алгоритмов IPSec, с помощью которых реализуется политика защи-
защиты для выбранного трафика. В рамках ассоциации защиты IKE выполняются опера-
операции согласования (в ходе второй фазы IKE, быстрый режим), в результате которых
стороны соглашаются использовать конкретный набор преобразований для защиты
потока данных. Набор преобразований объединяет следующие элементы IPSec:
• механизм аутентификации данных: преобразование АН (Authentication
Header — заголовок аутентификации);
• механизм шифрования данных: преобразование ESP (Encapsulating Security
Payload — включающий защиту полезный груз);
• режим IPSec (транспортный или туннельный).
Набор преобразований определяется с помощью команды глобальной конфигура-
конфигурации crypto ipsec transform-set, активизирующей конфигурационный режим crypto-
transform. Чтобы удалить набор преобразований, используйте указанную команду с
префиксом по. Команда имеет следующий синтаксис:
crypto ipsec transform-set имя-набора преобразование!
[преобразование! [преобразование3]]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
иыя-иабора Определяет имя создаваемого (или изменяемого) набора преобразований
преобразование! Указывают до трех преобразований, определяющих протокол(ы) и алгоритм(ы) защиты
преобразование! IPSec. Требуется указать по крайней мере одно преобразование АН или ESP
преобразование3
566
Часть VI. Виртуальные частные сети, использующие IPSec

Можно указать до трех преобразований. По умолчанию для всех преобразований
применяется туннельный режим. Можно указать не более одного преобразования АН
и не более двух преобразований ESP. Если для создания ассоциаций защиты протокол
IKE не применяется, должен использоваться один набор преобразований. Согласова-
Согласования такого набора преобразований не предполагается.
Программное обеспечение Cisco IOS поддерживает следующие преобразования IPSec.
• Преобразования АН.
• ah-md5-hmac — преобразование AH-HMAC-MD5
• ah-sha-hmac — преобразование AH-HMAC-SHA
• ah-rfcl828 — преобразование AH-MD5 (RFC 1828), используемое с более
ранними реализациями IPSec
Замечание
АН редко используется вместе с ESP, поскольку аутентификация предлагается пре-
преобразованиями esp-sha-hmac и esp-md5-hmac. Кроме того, протокол АН несовместим
со средствами NAT (Network Address Translation — трансляция сетевых адресов) и
PAT (Port Address Translation — трансляция адресов портов), поскольку последние
изменяют IP-адрес в заголовке пакета TCP/IP, нарушая данные аутентификации, соз-
созданные протоколом АН. Протокол АН можно использовать для аутентификации дан-
данных, но он не защищает содержимое, поскольку пакет не шифруется. АН используют
вместе с ESP тогда, когда требуется максимальная защита данных.
• Преобразования ESP.
• esp-des — преобразование ESP, использующее шифр DES E6 бит)
• esp-3des — преобразование ESP, использующее шифр 3DES(EDE) A68 бит)
• esp-md5-hmac — преобразование ESP с аутентификацией HMAC-MD5; ис-
используется в комбинации с esp-des или esp-3des, чтобы обеспечить целост-
целостность пакетов ESP
• esp-sha-hmac — преобразование ESP с аутентификацией HMAC-SHA; ис-
используется в комбинации с esp-des или esp-3des, чтобы обеспечить целост-
целостность пакетов ESP
• esp-null — преобразование ESP, не предполагающее шифрование; исполь-
используется в комбинации с esp-ind5-hmac или esp-sha-hmac, если необходимо
обеспечить аутентификацию ESP без шифрования
Внимание!
Не используйте параметр esp-null в сетевой среде реального предприятия, посколь-
поскольку при этом потоки данных оказываются незащищенными. Этот параметр можно объ-
объединить с esp-sha-hmac или esp-md5-hmac в процессе отладки и при поиске неисправ-
неисправностей, чтобы анализатор пакетов мог прочитать данные пакета IPSec.
• esp-rfcl829 — преобразование ESP-DES-CBC (RFC 1829), используемое с
более ранними реализациями IPSec
Глава 16. Настройка Cisco IOS для поддержки IPSec 567

Примеры наборов преобразований
В примерах 16.5—16.8 представлены варианты использования преобразований, об-
обсуждавшихся выше.
исацияАНс
' мощью 56-битового DESi
MD5 и шифрование ESP с по-
ельном режиме (по умолчанию)
crypto ipsec transform-set SECURE ah-md5-hmac esp-des
Пример 16.6. Аутентификация ESP с
с помощью 3DES в туннельном
й шифрование ESP
ме (по умолчанию)
crypto ipsec transform-set noAH esp-md5-hmac esp-des
Пример 16.7. Аутентификация АН с помощёШ SHA, аутентификация ESP
с помощью SHA и шифрование ESP с помощью 3DES в тун-
туннельном режиме (Щ||Й;)
crypto ipsec transform-set CPUeater ah-sha-hmac esp-sha-hmac esp-?-i-=
юртный режим
crypto ipsec transform-set AUTH ah-sha-hmac
Анализатор команд Cisco IOS не позволит вам ввести неправильную комбинацию.
Например, если указать преобразование АН, анализатор команд не позволит указать
еще одно преобразование АН для того же набора преобразований.
Редактирование наборов преобразований
Если требуется изменить набор преобразований, необходимо выполнить следую-
следующие действия.
1. Удалить набор преобразований из криптографической карты.
2. Удалить набор преобразований из глобальной конфигурации.
3. Ввести параметры откорректированного набора преобразований.
4. Указать использование набора преобразований с помощью криптофафической карты.
5. Очистить базу данных ассоциаций защиты.
6. Выполнить процедуру согласования ассоциаций защиты и проверить, что они
функционируют должным образом.
Альтернативным вариантом является повторное введение параметров нового набо-
набора преобразований, как показано в примере 16.9.
тзштт
! Было следующее:
crypto ipsec transform-set RouterA esp-des
! Изменим на esp-MD5-hmac:
568
Часть VI. Виртуальные частные сети, использующие IPSec

RouterA (conf ig) It interface serial 0
RouterA(config-if)i no crypto map RouterA
RouterAf config-if)i exit
RouterAf conf ig)(t no crypto ipsec transform-set RouterA
RouterA(config)* crypto ipsec transform-set RouterA esp-MD5-hmac
RouterA(cfg-crypto-trans)* exit
RouterAfconfiq)i interface serial 0
RouterAfconfig-if )i crypto map RouterA
RouterAfconfig-if)t exit
! Теперь имеем:
crypto ipsec transform-set RouterA esp-MD5-hmac
Согласование набора преобразований
Наборы преобразований согласуются в быстром режиме второй фазы IKE на основе
определенных наборов преобразований. Можно выбрать множество наборов преобразова-
преобразований, а затем указать один из них (или сразу несколько) в записи криптографической кар-
карты. В рамках одной политики наборы преобразований должны размещаться от наиболее
надежного к наименее надежному. Набор преобразований, определенный записью крип-
криптографической карты, используется при согласовании ассоциаций защиты IPSec для защи-
защиты потоков данных, определяемых списком доступа, связанным с этой записью.
В ходе согласования стороны пытаются найти набор преобразований, допустимый
для обеих сторон, как показано на рис. 16.2. Если такой набор преобразований имеет-
имеется, то он применяется для защиты потока данных в рамках ассоциаций защиты IPSec
обеих сторон. Стороны IPSec договариваются об одном наборе преобразований для
каждой ассоциации защиты (они являются односторонними).
transform-set secure
esp-3des
tunnel
transform-set idsecure
esp-des, ah-sha-hmac
tunnel
transform-set vrysecure
esp-edes, ah-sha-hmac,
esp-sha-hmac
tunnel
esp-3des, tunnel или esp-des?\
ah-sha-hmac, tunnel или esp-
3des, ah-sha-hmac, esp-sha- I
hmac, туннель??? J
/esp-3des, ah-sha
I hmac, esp-sha-
\hmac, туннель!
Отлично! Вижу
совпадение esp-3des,
ah-sha-hmac, esp-sha-
hmac, туннель!
Марш рутизатор А Маршрутизатор В
Рис. 16.2. Согласование набора преобразований двумя сторонами IPSec
transform-set 3d
esp-3des
tunnel
transform-set espah
esp-des, ah-md5-hmac
tunnel
transform-set strong
esp-3des, ah-sha-hmac,
esp-sha-hmac
tunnel
Глава 16. Настройка Cisco IOS для поддержки IPSec
569

Шаг 2. Установка глобальных пределов существования
для ассоциаций защиты IPSec
Пределы существования ассоциаций защиты IPSec указывают, как долго ассоциации
защиты IPSec остаются действительными, т.е. когда потребуется их переустановка. Про-
Программное обеспечение Cisco IOS поддерживает глобальное значение предела существова-
существования, применимого сразу ко всем криптографическим картам. Глобальное значение может
быть изменено соответствующей записью криптографической карты. Пределы существо-
существования применимы только к ассоциациям защиты, создаваемым посредством IKE. Создан-
Созданные вручную ассоциации защиты не прекращают своего существования автоматически.
Перед тем как ассоциация защиты прекратит свое существование, проводятся переговоры
о создании новой, чтобы обеспечить непрерывность потока данных.
Изменить глобальные значения пределов существования для ассоциаций защиты IPSec
можно с помощью команды глобальной конфигурации crypto ipsec security-association
lifetime. Чтобы восстановить значение предела существования, заданное по умолчанию,
используйте команду с префиксом по. Указанная команда имеет следующий синтаксис:
crypto ipsec security-association lifetime
{seconds секунды | kilobytes килобайты)
Параметры команды описаны в следующей таблице.
Параметр команды Описание
seconds секунды Указывает время (в секундах), в течение которого ассоциация защиты будет действи-
действительна. По умолчанию соответствующее значение равно 3600 секундам (одному часу)
kilobytes килобайты Указывает объем данных (в килобайтах), который можно передать по данной связи,
до того как она станет недействительной. По умолчанию используется значение,
равное 4608000 Кбайт
Специалисты Cisco советуют использовать значения, установленные по умолча-
умолчанию. Значения для отдельных ассоциаций защиты IPSec можно указать с помощью
криптографических карт, как будет описано ниже в подразделе "Шаг 4. Создание
криптографических карт".
Шаг 3. Создание списков шифрованного доступа
Еще одним шагом настройки IPSec является настройка списков шифрованного
доступа, которые используются для определения трафика IP, защищаемого (или не
защищаемого) средствами IPSec. Списки шифрованного доступа в рамках IPSec вы-
выполняют следующие функции.
• Выбор исходящего трафика, подлежащего защите средствами IPSec.
• Обработка входящего трафика на предмет выявления трафика IPSec.
• Выявление и фильтрация входящего трафика, подлежащего защите средствами
IPSec.
• Удовлетворение запросов создания ассоциаций защиты IPSec в процессе согла-
согласования IKE.
При создании списков шифрованного доступа используются расширенные списки
доступа IP. Списки шифрованного доступа выявляют данные, которым требуется за-
570 Часть VI. Виртуальные частные сети, использующие IPSec

щита. Синтаксис списков шифрованного доступа ничем не отличается от синтаксиса
расширенных списков доступа IP, но в списках шифрованного доступа ключевые сло-
слова интерпретируются иначе. Ключевое слово permit означает, что соответствующие
пакеты должны шифроваться, a deny означает отказ от шифрования. Списки шифро-
шифрованного доступа действуют подобно расширенным спискам доступа IP, применяемым
к исходящему трафику интерфейса.
За более подробной информацией о расширенных списках доступа IP для трафика
TCP и UDP (включая селекцию портов TCP и UDP) обратитесь к приложению В,
"Настройка стандартных и расширенных списков доступа". Здесь мы представляем
описание ограниченной версии команды access-list:
access-list номер-списка-доступа {permit | deny} протокол источник
групповой-адрес-нсточника получатель групповой-адрес-получателя
[precedence приоритет] [tos тип-сервиса] [log]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
permit Указывает необходимость шифрования трафика IP, удовлетворяющего соответствую-
соответствующим условиям, на основе политики шифрования, заданной соответствующей записью
криптографической карты
deny Заставляет маршрутизатор оставить трафик в открытом виде
источник Указывает адреса сетей, подсетей и хостов
получатель Указывает адреса сетей, подсетей и хостов
протокол Указывает типы пакетов IP, подлежащие шифрованию
Внимание!
Незащищенный входящий трафик, идентифицированный в списке шифрованного дос-
доступа (с помощью записи криптографической карты) как трафик IPSec, но не имеющий
соответствующей ассоциации защиты IPSec, будет отвергнут, поскольку предполага-
предполагается, что такой трафик должен защищаться средствами IPSec.
Если одной части трафика необходимо обеспечить одну комбинацию средств за-
защиты IPSec (например, только аутентификацию), а другой — иную (и аутентифика-
аутентификацию, и шифрование), создайте два списка шифрованного доступа, чтобы определить
два типа трафика. Эти списки доступа нужно использовать в разных записях крипто-
криптографической карты, описывающих разные политики IPSec.
Внимание!
Специалисты Cisco советуют избегать употребления ключевого слова any для описа-
описания адресов источника или получателя. Настоятельно не рекомендуется использо-
использовать оператор permit any any, поскольку он означает необходимость защиты всего
исходящего трафика (и защищенного трафика, направляемого стороне, указанной в
соответствующей записи криптографической карты), а также всего входящего трафи-
трафика. Все входящие пакеты, не защищенные средствами IPSec, при этом будут отверг-
отвергнуты, включая пакеты протоколов маршрутизации, NTP (Network Time Protocol — син-
синхронизирующий сетевой протокол), запросы отклика и ответы на них и т.д.
Глава 16. Настройка Cisco IOS для поддержки IPSec 571

Определяя условия защиты пакетов в списке шифрованного доступа, будьте пре-
предельно внимательны. Если возникает необходимость применения оператора permit с
ключевым словом any, разместите перед этим оператором набор операторов deny, что-
чтобы отфильтровать трафик, который не должен защищаться шифрованием (иначе он
попадет под действие оператора permit, о котором идет речь).
Настройка симметричных списков шифрованного доступа
Специалисты Cisco советуют создавать для IPSec симметричные (или "зеркальные")
списки шифрованного доступа. Как входящие, так и исходящие потоки данных оцени-
оцениваются одним и тем же "исходящим" списком доступа IPSec. Критерии списка доступа
применяются в "прямом" направлении к трафику, выходящему из маршрутизатора, и в
"обратном" направлении к трафику, входящему в маршрутизатор. При получении шиф-
шифрованных пакетов от удаленного партнера IPSec, для выявления пакетов, подлежащих
дешифрованию, используется тот же список доступа, но адреса источника и получателя
в списке доступа просматриваются в обратном порядке.
Пара списков шифрованного доступа, указанная в примере 16.10, поможет вам по-
понять, почему рекомендуется использовать симметричные списки доступа.
|>рованного доступа ... ..
routerA(config)t access-list 151 permit tcp 192.168.1.0 0.0.0.255
192.168.2.0 0.0.0.255
routerB(config)t access-list 151 permit tcp 192.168.2.0 0.0.0.255
192.168.1.0 0.0.0.255
Обратитесь снова к сетевой диаграмме, показанной на рис. 16.1. Защита IPSec
применяется на выходе интерфейса sO маршрутизатора А к трафику, направленному
от хостов сети 192.168.1.0 узла 1 к хостам сети 192.168.2.0 узла 2. Соответствующая за-
запись списка доступа в маршрутизаторе А интерпретируется следующим образом:
• источник: хосты сети 192.168.1.0;
• получатель: хосты сети 192.168.2.0.
Для входящего трафика, направленного от хостов сети 192.168.2.0 узла 2 к хостам
сети 192.168.1.0 узла 1, тот же список доступа в маршрутизаторе А интерпретируется
следующим образом:
• источник: хосты сети 192.168.2.0;
• получатель: хосты сети 192.168.1.0.
Шаг 4. Создание криптографических карт
При создании криптографических карт, с помощью средств IPSec можно установить
ассоциации защиты для потоков данных, подлежащих шифрованию. В этом разделе рас-
рассматриваются цели создания криптографических карт, описывается команда crypto map и
предлагаются примеры криптографических карт. Записи криптографических карт опреде-
определяют параметры ассоциаций защиты IPSec, связывая следующие элементы конфигурации.
• Трафик, который должен защищаться средствами IPSec (списком шифрован-
шифрованного доступа), и степень детализации трафика, защищаемого набором ассоциа-
ассоциаций защиты.
572 Часть VI. Виртуальные частные сети, использующие IPSec

• Пункт назначения, куда направляется трафик IPSec (описание удаленной сто-
стороны IPSec ).
• Локальный адрес, который должен использоваться для трафика IPSec.
• Тип защиты IPSec, применяемый к указанному трафику (наборы преобразований).
• Способ создания ассоциаций защиты: создание вручную или посредством IKE.
• Другие параметры, которые могут понадобиться при создании ассоциаций за-
защиты IPSec.
Параметры криптографических карт
К одному интерфейсу можно применить только одну криптофафическую карту,
которая может включать комбинацию средств СЕТ и IPSec с ассоциациями защиты,
созданными с помощью IKE или вручную. Одну и ту же криптофафическую карту
могут использовать несколько интерфейсов, если соответствующая политика защиты
приемлема для нескольких интерфейсов сразу. Подробная информация о применении
средств СЕТ предлагается в главе 14, "Применение шифрования Cisco".
Для одного интерфейса может понадобиться несколько криптофафических карт.
Но интерфейс можно связать только с одним именем криптофафической карты. По-
Поэтому в рамках одной криптофафической карты создают несколько криптофафиче-
криптофафических записей, указывая для каждой записи порядковый номер, чтобы тем самым
сфуппировать соответствующие операторы. Номер записи определяет ее приоритет —
чем ниже значение порядкового номера, тем выше приоритет. В рамках интерфейса, с
которым связана криптофафическая карта, трафик сначала оценивается записями с
высшим приоритетом. При этом разумно начать нумерацию записей криптофафиче-
криптофафической карты с достаточно большого значения (например, 100), чтобы оставить доста-
достаточно вариантов нумерации для записей с более высоким приоритетом, которые будут
добавлены в будущем. Необходимость создания нескольких записей криптофафиче-
криптофафической карты для одного интерфейса возникает в следующих ситуациях.
• Имеются потоки данных, которые должны обрабатываться разными сторона-
сторонами IPSec.
• Необходимо обеспечить несколько уровней зашиты IPSec в зависимости от ти-
типа трафика, направленного одной стороне или разным сторонам IPSec
(например, трафик одних подсетей необходимо аутентифицировать, а трафик
других — и аутентифицировать, и шифровать). В этом случае каждый тип тра-
трафика определяется отдельным списком доступа, а в криптографической карте
для каждого из списков доступа создается отдельная запись.
• Необходимо использовать средства IPSec с ассоциациями защиты, установлен-
установленными вручную (а не с помощью IKE), и связать их с условиями коллективного
доступа. В этом случае создаются отдельные списки доступа (по одному для
каждого разрешения) и для каждого из этих списков доступа указывается от-
отдельная запись криптографической карты.
Стратегия резервирования
В криптофафической карте можно указать несколько удаленных сторон с целью
применения стратегий резервирования. Если в процессе IKE одна из сторон не отве-
отвечает, ей найдется альтернатива. С какой из сторон при этом свяжется маршрутизатор
в процессе обмена IKE — зависит от информации, уже полученной маршрутизатором
Глава 16. Настройка Cisco IOS для поддержки IPSec 573

для соответствующего потока данных. Если попытка оказывается неудачной для од-
одной стороны, IKE пытается связаться со следующей, в соответствии со списком крип-
криптографической карты.
Динамические криптофафические карты позволяют не описывать все параметры
IPSec. Например, динамические криптофафические карты можно использовать тогда,
когда в компании имеется множество удаленных компьютеров, поддерживающих
профаммное обеспечение клиента IPSec с разными политиками защиты. Такие крип-
криптофафические карты удобны и тогда, когда туннели IPSec инициируются удаленной
стороной (например, при размещении маршрутизатора IPSec перед сервером). Но ди-
динамические криптофафические карты неприменимы, когда установка туннелей IPSec
инициируется локально, поскольку они являются лишь шаблонами политики защиты,
а не ее завершенными вариантами. Динамические криптофафические карты подроб-
подробно будут обсуждаться в главе 18, "Масштабирование сетей IPSec".
Настройка криптографических карт
Команда глобальной конфигурации crypto map используется для создания или из-
изменения записей криптофафических карт и для перехода в режим конфигурации
криптографической карты. Записи криптофафической карты, ссылающиеся на дина-
динамические карты, должны быть записями с самым низким приоритетом (т.е. соответст-
соответствующие номера записей должны иметь наивысшие значения). Чтобы удалить запись
или набор записей криптофафический карты, используйте указанную команду с пре-
префиксом по. Команда имеет следующий синтаксис:
crypto map имя-карты порядк-номер cisco
crypto map ння-карты порядк-номер ipsec-manual
crypto map имя-карты порядк-номер ipsec-isakmp [dynamic имя-диаамич-карты]
no crypto map имя-карты [порядк-номер]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
cisco (Значение, принятое по умолчанию.) Указывает, что для защиты трафика, определяе-
определяемого новой записью криптографической карты, будет использоваться СЕТ, а не IPSec
имя-карты Имя криптографической карты
порядк-иомер Номер, присваиваемый записи криптографической карты
ipsec-manual Запрет использования IKE при создании ассоциаций защиты IPSec для трафика, оп-
определяемого новой записью криптографической карты
ipsec-isakmp Требование использовать IKE при создании ассоциаций защиты IPSec для трафика,
определяемого новой записью криптографической карты
dynamic (необязательный) Означает, что данная запись ссылается на уже существующую дина-
динамическую криптографическую карту. При использовании этого ключевого слова ко-
команды режима конфигурации криптофафической карты недоступны
имя-дииамич-карты (необязательный) Имя набора записей динамической криптофафической карты, ис-
используемого в качестве шаблона политики защиты
При вводе команды crypto map открывается режим конфигурации криптографиче-
криптографической карты (характеризующийся приглашением router(config-crypto-map)i), в кото-
котором будут доступны следующие команды.
574 Часть VI. Виртуальные частные сети, использующие IPSec

match address [id-списка-доступа \ имя]
set peer [имя-хоста \ ip-адрес]
set pfs [groupl | group2]
set security-association level per-host
set security-association lifetime {seconds секунды | kilobytes килобайты}
set transform-set имя-иабора [имя-набора2...имя-набора6]
set session-key {inbound | outbound} ah | esp
exit
Синтаксис команд, доступных в режиме конфигурации криптографической карты,
описан в следующей таблице.
Параметр
Описание
id-списка-доступа \ имя
имя-хоста | ip-адрес
groupl | group2
set security-association
level per-host
seconds секунды
kilobytes килобайты
имя-иабора [имя-
набора2...имя-иабораб]
set session-key
{inbound | outbound} ah
I esp
exit
Идентифицирует (с помощью номера или имени) расширенный список досту-
доступа, используемый криптографической картой. Значение должно соответство-
соответствовать номеру или имени ранее определенного расширенного списка доступа IP
Идентифицирует IPSec-партнера с помощью IP-адреса или имени хоста. Мож-
Можно указать несколько адресов для реализации стратегии резервирования
(необязательный) Определяет использование 768-битовой (groupl) или
1024-битовой (group2) группы Диффи-Хеллмана для нового обмена в рамках
IPSec. По умолчанию используется groupl
Означает необходимость запроса отдельных ассоциаций защиты IPSec для
каждой пары адресов источника/получателя в списке шифрованного доступа
Задает предел времени существования ассоциации защиты, по истечении ко-
которого связь становится недействительной
Задает предельный объем (в килобайтах) для передаваемых сторонами IPSec
данных, в результате превышения которого ассоциация защиты становится
недействительной
Список наборов преобразований в порядке возрастания приоритета. Для за-
записей ipsec-isakmp и dynamic можно указать до шести наборов преобра-
преобразований. В процессе согласования наборы преобразований рассматриваются
в порядке приоритета - от низшего значения к высшему, поэтому набору
преобразований, обеспечивающему наиболее надежную защиту (например,
esp-3des), следует присвоить наименьшее значение
Установка параметров ассоциации защиты вручную, включая установку вручную
паролей для преобразований АН и ESP. Указывает, для каких ассоциаций защиты
вводятся значения—для входящих (inbound) или исходящих (outbound)
Выход из режима конфигурации криптографической карты
Определив записи криптофафической карты, их можно связать с интерфейсами,
используя для этого команду crypto map (в режиме конфигурации интерфейса).
Пример криптографической карты
В примере 16.11 показана конфигурация криптофафической карты, в которой ука-
указаны два адресата, чтобы обеспечить избыточность. Если с одной из сторон наладить
связь не удается, используется вторая сторона. Для числа сторон, указываемых в ре-
резервных целях, офаничений не предусмотрено.
Глава 16. Настройка Cisco IOS для поддержки IPSec
575

Замечание
Списки доступа для записей криптографической карты с пометкой ipsec-manual могут ис-
использовать только один оператор permit. Последующие записи будут игнорироваться. Ка-
Каждый такой оператор предназначен для поддержки одного потока данных. Чтобы обеспе-
обеспечить поддержку множества созданных вручную ассоциаций защиты для различных видов
трафика, определите несколько списков шифрованного доступа и свяжите каждый из них с
отдельной записью ipsec-manual криптографической карты. Каждый такой список должен
содержать только один оператор permit, определяющий защищаемый трафик. Настройка
IPSec вручную описана в руководстве Security Configuration Guide.
RouterA(config)t crypto шар шушар 10 ipsec-isakmp
RouterA(config-crypto-map)* match address 151
routerA(config-crypto-map)* set peer 172.16.2.1
routerA(config-crypto-map)# set peer 172.16.3.1
routerA(config-crypto-map)f set pfs groupl
routerA(config-crypto-map)$ set transform-set mytransform
routerA(config-crypto-map)# set eecurity-association lifetime 2700
routerA(config-crypto-map)(t exit
Установка ключей вручную
Ассоциации защиты IPSec можно создать вручную и не использовать для этого
IKE. Специалисты Cisco советуют применять IKE, поскольку трудно обеспечить сов-
совпадение для всех значений ассоциаций защиты между сторонами. Кроме того, алго-
алгоритм Диффи-Хеллмана является значительно более надежным методом выбора общих
секретных ключей. Но если требуется, можно использовать команду set security-
association в режиме конфигурации криптографической карты, чтобы вручную опи-
описать сеансовые ключи IPSec для конкретной записи криптографической карты.
Ассоциации защиты, создаваемые с помощью этой команды, не ограничены во
времени (в отличие от ассоциаций защиты, создаваемых с помощью IKE). Сеансовые
ключи сторон должны при этом совпадать. Если вы измените сеансовый ключ, ассо-
ассоциация защиты, использующая этот ключ, будет удалена и инициализирована вновь.
Шаг 5. Применение криптографических карт к интерфейсам
Последним шагом настройки IPSec является применение набора записей криптогра-
криптографической карты к интерфейсу с помощью команды crypto map в режиме конфигурации
интерфейса. Используйте данную команду с префиксом по, чтобы удалить криптографиче-
криптографическую карту с интерфейса. Указанная команда имеет следующий синтаксис:
crypto map имя-карты
Параметр команды имеет следующее значение.
Параметр команды Описание
имя-карты Идентифицирует набор записей криптографической карты. Это имя, присваиваемое
при создании криптографической карты
576 Часть VI. Виртуальные частные сети, использующие IPSec

Как только вы примените криптографическую карту, в базе данных ассоциаций
защиты в памяти системы будут установлены параметры ассоциации защиты. Прове-
Проверить установленные ассоциации защиты можно с помощью команды show crypto
ipsec sa. С одним интерфейсом можно связать только один набор записей крипто-
криптографической карты. Записи криптографической карты, имеющие одно и то же имя,
но разные порядковые номера, считаются частью одного набора и применяются к ин-
интерфейсу одновременно. Запись криптографической карты с наименьшим значением
порядкового номера имеет высший приоритет и оценивается первой.
В примере 16.12 показан вариант применения криптографической карты в мар-
маршрутизаторе А.
Мнение криптографической карты в маршрутизаторе А
RouterA(config)# interface serial 0
RouterA(config-if )# crypto map RouterAmap
RouterA(config-if)# exit
RouterA(config)#
Пример конфигурации IPSec
Рассмотрим следующие примеры конфигурации для маршрутизаторов А (пример
16.13) и В (пример 16.14). Примеры были отредактированы, чтобы показать только
команды, связанные с обсуждавшимися в главе вопросами.
RouterAjf show running-config
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp key WhatLighT address 172.16.2.1
!
crypto ipsec transform-set RouterAset esp-des esp-md5-hmac
crypto map RouterAmap 100 ipsec-isakmp
set peer 172.16.2.1
set transform-set RouterAset
match address 151
!
interface SerialO
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
crypto map RouterAmap
!
access-list 101 permit ahp host 172.16.2.1 host 172.16.1.1
access-list 101 permit esp host 172.16.2.1 host 172.16.1.1
access-list 101 permit udp host 172.16.2.1 host 172.16.1.1 eq isakmp
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 151 deny ip any any
Глава 16. Настройка Cisco IOS для поддержки IPSec 577

RouterB* show running-config
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp key WhatLighT address 172.16.1.1
!
crypto ipsec transform-set RouterBset esp-des esp-md5-hmac
crypto map RouterBmap 100 ipsec-isakmp
set peer 172.16.1.1
set transform-set RouterBset
match address 151
interface SerialO
ip address 172.16.2.1 255.255.255.0
ip access-group 101 in
crypto map RouterBmap
!
access-list 101 permit ahp host 172.16.1.1 host 172.16.2.1
access-list 101 permit esp host 172.16.1.1 host 172.16.2.1
access-list 101 permit udp host 172.16.1.1 host 172.16.2.1 eq isakmp
access-list 151 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 151 deny ip any any
Задача 4. Тестирование и контроль IPSec
Завершающей задачей процесса настройки IPSec для работы с общими ключами
является проверка текущих установок и функциональных возможностей IPSec. Про-
Программное обеспечение Cisco IOS предлагает ряд команд show, clear и debug, с помо-
помощью которых можно проконтролировать работу IKE и IPSec. Их использование обсу-
обсуждается в следующих разделах.
Команды IKE
Команды, описанные в следующих разделах, можно использовать для проверки
конфигурации и действия IKE.
Команда show crypto isakmp policy
Команду show crypto isakmp policy режима EXEC (режим интерактивного ко-
командного процессора Cisco IOS) можно использовать для того, чтобы выяснить пара-
параметры политики IKE, как показано в примере 16.15.
рьгподити1^
-?1 **>. ¦* ': •*>- "»*¦"' 5 « -'.: ¦' л_ ,... ,2i- .-V Щ&ЩЩШхШ?
RouterAi show crypto isakmp policy
Protection suite of priority 100
578 Часть VI. Виртуальные частные сети, использующие IPSec

encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
Default protection suite
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
DES--Data Encryption Standard E6 bit keys).
Message Digest 5
Rivest-Shamir-Adleman Encryption
#1 G68 bit)
86400 seconds, no volume limit
DES---Data Encryption Standard E6 bit keys).
Secure Hash Standard
Rivest-Shamir-Adleman Signature
#1 G68 bit)
86400 seconds, no volume limit
Команда show crypto isakmp sa
Команду show crypto isakmp sa режима EXEC можно использовать для того, чтобы
увидеть параметры всех текущих ассоциаций защиты IKE, как показано в примере 16.16.
для
conn-id slot
93 0
RouterAjf show crypto isakmp sa
dst src state
172.16.1.1 172.16.2.1 QM IDLE
Команда clear crypto isakmp
Команду clear crypto isakmp глобальной конфигурации можно применять для
очистки активных соединений IKE. Эта команда имеет следующий синтаксис:
clear crypto isakmp [id-соедииеиия]
Параметр команды описан в следующей таблице.
Параметр команды Описание
id-соедииеиия (необязательный) Идентифицирует соединение, которое требуется очистить. Если зна-
значение параметра не указано, будут очищены все существующие соединения
Если параметр id-соедииеиия в данной команде не указан, будут очищены все су-
существующие соединения IKE. Команды в примере 16.17 иллюстрируют применение
команды очистки соединений IKE между марщрутизаторами А и В.
RouterA* show crypto isakmp sa
dst src state conn-id slot
172.16.1.1 172.16.2.1 QM_IDLE 93 0
RouterA* clear crypto isakmp 93
2w4d: ISADB: reaper checking SA,
RouterAjf show crypto isakmp sa
dst src state conn-id slot
Глава 16. Настройка Cisco IOS для поддержки IPSec
579

Команда debug crypto isakmp
Команда debug crypto isakmp режима EXEC используется для отображения сооб-
сообщений о событиях IKE. Использование этой команды с префиксом по отключает вы-
вывод отладочных данных. Синтаксис команды следующий:
debug crypto isakmp
Команды IPSec
Команды, описываемые в следующих разделах, можно применять для проверки
параметров конфигурации и контроля действия IPSec.
Команда show crypto ipsec transform-set
Командой show crypto ipsec transform-set режима EXEC можно воспользоваться
для проверки размещенных наборов преобразований. Указанная команда имеет сле-
следующий синтаксис:
show crypto ipsec transform-set [tag имя-набора]
Параметр команды описан в следующей таблице.
Параметр команды Описание
tag имя-иабора (необязательный) Показывает только набор преобразований, имеющий указанное имя
Если ключевое слово tag не используется, будут показаны все множества преобра-
преобразований, размещенные в маршрутизаторе.
Команда show crypto map
Команду show crypto map режима EXEC применяют для просмотра конфигурации
криптографической карты. Если эту команду использовать без дополнительных клю-
ключевых слов, будут показаны все криптографические карты, размещенные в маршрути-
маршрутизаторе. Синтаксис указанной команды следующий:
show crypto map [interface интерфейс \ tag имя-карты]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
interface интерфейс (необязательный) Отображает только набор записей криптографический карты,
применяемый к указанному интерфейсу
tag имя-карты (необязательный) Отображает только набор записей криптографический карты с
указанным именем
Команда show crypto ipsec security-association lifetime
С помощью команды show crypto ipsec security-association lifetime режима
EXEC можно выяснить значения пределов существования ассоциаций защиты для
конкретной записи криптографической карты. Эта команда не имеет параметров или
дополнительных ключевых слов.
Команда show crypto ipsec sa
Команда show crypto ipsec sa режима EXEC применяется для просмотра устано-
установок, используемых текущими ассоциациями защиты. Если команда вводится без до-
580 Часть VI. Виртуальные частные сети, использующие IPSec

полнительных ключевых слов, отображается информация обо всех ассоциациях защи-
защиты. Синтаксис указанной команды следующий:
show crypto ipsec sa [map имя-карты | address | identity] [detail]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
тар имя-карты (необязательный) Показывает все существующие ассоциации защиты, созданные для
данной криптографической карты
address (необязательный) Показывает все существующие ассоциации защиты, упорядоченные
сначала по адресу получателя, а затем по протоколу (АН или ESP)
identity (необязательный) Показывает только информацию о потоке. Не отображает информа-
информацию об ассоциации защиты
detail (необязательный) Отображает подробную информацию счетчиков ошибок. По умолчанию
отображается информация счетчиков ошибок отправки/приема высшего уровня
Команда debug crypto ipsec
Команда debug crypto ipeec режима EXEC предназначена для вывода информа-
информации о событиях IPSec. При использовании этой команды с префиксом по вывод отла-
отладочных данных отключается.
Команда clear crypto sa
Команда clear crypto sa глобальной конфигурации используется для того, чтобы
очистить ассоциации защиты IPSec. Синтаксис указанной команды следующий:
clear crypto ва peer {ip-адрес | имя-стороиы)
clear crypto sa map имя-карты
clear crypto sa entry адрес-получателя протокол spi
clear crypto sa counters
Параметры команды описаны в следующей таблице.
Параметр команды Описание
ip-адрес IP-адрес удаленной стороны
имя-стороны Имя удаленной стороны (точное доменное имя — например, remotepeer.domain.com)
имя-карты Имя набора криптографических карт
адрес-получателя IP-адрес вашей или удаленной стороны
протокол Указывает либо протокол АН, либо ESP
spi Определяет индекс параметров защиты (SPI), значение которого можно проверить с
помощью команды show crypto ipsec sa
Если ключевые слова peer, map, entry и counters не использовать, то будут удалены
все ассоциации зашиты IPSec.
Если ассоциации защиты были созданы с помощью IKE, они удаляются, и созда-
создание новых ассоциаций защиты для дальнейшего трафика IPSec потребует новых пе-
переговоров о согласовании параметров (при использовании IKE ассоциации защиты
IPSec создаются только тогда, когда это необходимо.)
Глава 16. Настройка Cisco IOS для поддержки IPSec 581

Если ассоциации защиты установлены вручную, то они удаляются и устанавлива-
устанавливаются снова (если ЖЕ не используется, ассоциации защиты IPSec создаются сразу же
по завершении процесса изменения конфигурации.)
Сообщения системы об ошибках
Программное обеспечение Cisco IOS может генерировать множество полезных со-
сообщений, связанных с диагностикой ошибок IKE. Два типа таких сообщений будут
описаны ниже.
Ошибка аутентификации ассоциации защиты IKE
Сообщение, показанное в примере 16.18, указывает на то, что процесс IKE не мо-
может быть продолжен из-за ошибки аутентификации ассоциации защиты IKE.
*CRYPT0-6-IKMP_SA_N0T_AUTH: Cannot accept Quick Mode exchange from %15i if SA is not
authenticated!
Это сообщение говорит о том, что ассоциация защиты IKE с удаленной стороной
не была аутентифицирована, но сторона пытается перейти в быстрый режим обмена.
Соответствующий обмен может выполняться только для аутентифицированнои ассо-
ассоциации защиты. В этом случае рекомендуется связаться с администратором удаленной
стороны, чтобы исправить ошибки конфигурации.
Несоответствие параметров политики IKE
В примере 16.19 представлено еще одно сообщение системы об ошибке IKE.
*CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %15i responded with attribute
[символы] not offered or changed
Стороны IKE ведут переговоры о политике на основе предложенного инициатором
списка допустимых альтернативных наборов параметров защиты. Это сообщение сви-
свидетельствует о том, что отвечающая сторона в своем ответе предложила политику IKE,
которую инициатор не предлагал. В этом случае рекомендуется связаться с админист-
администратором удаленной стороны, чтобы исправить ошибки конфигурации.
Пример отладки
В примере 16.20 показаны сообщения отладки IKE и IPSec при нормальном тече-
течении процесса установки IPSec (обратите внимание на комментарии в тексте примера).
Пример 16.20) Сообщения отладки IKE и IPSec пр^ нормальном течении
RouterA# debug crypto ipsec
Crypto IPSEC debugging is on
RouterAft debug crypto isakmp
Crypto ISAKMP debugging is on
RouterAft
582
Часть VI. Виртуальные частные сети, использующие IPSec

*Feb 29 08:08:06.556 PST: IPSEC(sajrequest): ,
(key eng. msg.) src= 172.16.1.1, dest= 172.16.2.1,
src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
dest_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform» esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x0@), conn_id= 0, keysize= 0, flags= 0x4004
.' Соответствующий трафик от узла 1 к узлу 2 активизирует основной режим ISAKMP.
*Feb 29 08:08:06.556 PST: ISAKMP D): beginning Main Mode exchange
processing SA payload. message ID = 0
Checking ISAKMP transform 1
*Feb 29 08:08:06.828 PST: ISAKMP D)
*Feb 29 08:08:06.828 PST: ISAKMP D)
against priority 100 policy
*Feb 29 08:08:06.828 PST: ISAKMP:
*Feb 29 08:08:06.828 PST: ISAKMP:
*Feb 29 08:08:06.828 PST: ISAKMP:
*Feb 29 08:08:06.832 PST: ISAKMP:
*Feb 29 08:08:06.832 PST: ISAKMP D)
processing KE payload. message ID = 0
processing NONCE payload. message ID = 0
SKEYID state generated
processing vendor id payload
speaking to another IOS box
processing ID payload. message ID = 0
processing HASH payload. message ID = 0
SA has been authenticated with 172.16.2.1
encryption DES-CBC
hash №5
default group 1
auth pre-share
atts are acceptable. Next payload is 0
.' Стороны IPSec нашли подходящую политику ISAKMP
*Feb 29 08:08:06.964 PST: ISAKMP D): SA is doing pre-shared key authentication
.' Согласованы ключи аутентификации
*Feb 29 08:08:07.368 PST: ISAKMP D):
*Feb 29 08:08:07.540 PST: ISAKMP D):
*Feb 29 08:08:07.540 PST: ISAKMP D):
*Feb 29 08:08:07.540 PST: ISAKMP D):
*Feb 29 08:08:07.544 PST: ISAKMP D):
*Feb 29 08:08:07.676 PST: ISAKMP D):
*Feb 29 08:08:07.676 PST: ISAKMP D):
*Feb 29 08:08:07.680 PST: ISAKMP D):
/ Основной режим завершен.
! Стороны аутентифицированы, и секретные ключи сгенерированы.
! Переходим к быстрому режиму.
*Feb 29 08:08:07.680 PST: ISAKMP D): beginning Quick Mode exchange,
M-ID of 1079597279
*Feb 29 08:08:07.680 PST: IPSEC(key_engine): got a queue event...
*Feb 29 08:08:07.680 PST: IPSEC(spijresponse): getting spi 3658276911d for SA
from 72.16.2.1 to 172.16.1.1 for prot 3
*Feb 29 08:08:08.424 PST: ISAKMP D): processing SA payload.
message ID = -1079597279
*Feb 29 08:08:08.424 PST: ISAKMP D): Checking IPSec proposal 1
*Feb 29 08:08:08.424 PST: ISAKMP: transform 1, ESP_DES
ISAKMP:
ISAKMP:
ISAKMP:
ISAKMP:
ISAKMP:
*Feb 29 08:08:08.424 PST:
*Feb 29 08:08:08.424 PST:
*Feb 29 08:08:08.424 PST:
*Feb 29 08:08:08.424 PST:
*Feb 29 08:08:08.428 PST:
*Feb 29 08:08:08.428 PST: ISAKMP:
0x0 0x46 0x50 0x0
*Feb 29 08:08:08.428 PST: ISAKMP:
attributes in transform:
encaps is 1
SA life type in seconds
SA life duration (basic) of 3600
SA life type in kilobytes
SA life duration (VPI) of
authenticator is HMAC-MD5
Глава 16. Настройка Cisco IOS для поддержки IPSec
583

*Feb 29 08:08:08.428 PST: ISAKMP D): atts are acceptable.
*Feb 29 08:08:08.428 PST IPSEC(validate proposal_request): proposal part #1,
(key eng. msg.) dest= 172.16.2.1, src= 172.16.1.1,
dest_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
protocol3 ESP, transform1 esp-des esp-md5-hmac ,
lifedur= 0s and 0kb,
spi= 0x0@), conn_id= 0, keysize= 0, flags» 0x4
*Feb 29 08:08:08.432 PST: ISAKMP D): processing NONCE payload.
message ID = -10 79597279
*Feb 29 08:08:08.432 PST: ISAKMP D): processing ID payload.
message ID = -1079597279
*Feb 29 08:08:08.432 PST: ISAKMP D): processing ID payload.
message ID = -1079597279
/ Подходящая политика IPSec согласована и аутеитифицирована.
! Устанавливаются следующие ассоциации защиты.
*Feb 29 08:08:08.436 PST ISAKMP D): Creating IPSec SAs
*Feb 29 08:08:08.436 PST: inbound SA from 172.16.2.1 to 172.16.1.1
(proxy 192.168.2.0 to 192.168.2.0 )
*Feb 29 08:08:08.436 PST: has spi 365827691 and conn_id 5 and flags 4
*Feb 29 08:08:08.436 PST: lifetime of 3600 seconds
*Feb 29 08:08:08.440 PST: lifetime of 4608000 kilobytes
*Feb 29 08:08:08.440 PST: outbound SA from 172.16.1.1 to 172.16.2.1
(proxy 92.168.1.0 to 192.168.1.0 )
*Feb 29 08:08:08.440 PST: has spi 470158437 and conn_id 6 and flags 4
*Feb 29 08:08:08.440 PST: lifetime of 3600 seconds
*Feb 29 08:08:08.440 PST: lifetime of 4608000 kilobytes
*Feb 29 08:08:08.440 PST: IPSEC(key_engine): got a queue event...
*Feb 29 08:08:08.440 PST: IPSEC(initialize_sas): ,
(key eng. msg.) dest= 172.16.1.1, src= 172.16.2.1,
dest_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
src_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
protocol» ESP, transform3 esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0xl5CEl66BC65827691), conn_id= 5, keysize= 0, flags= 0x4
*Feb 29 08:08:08.444 PST: IPSEC(initialize_sas): ,
(key eng. msg.) src= 172.16.1.1, dest= 172.16.2.1,
src_proxy= 192.168.1.0/255.255.255.0/0/0 (type=4),
dest_proxy= 192.168.2.0/255.255.255.0/0/0 (type=4),
protocol» ESP, transform3 esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0xlC060C65D70158437), conn_id= 6, keysize= 0, flags= 0x4
*Feb 29 08:08:08.444 PST: IPSEC(create_sa): sa created,
(sa) sa dest= 172.16.1.1, sa_prot= 50,
sa_spi= 0xl5CE166BC65827691),
sa trans= esp-des esp-md5-hmac , sa conn id= 5
*Feb 29 08:08:08.444 PST: IPSEC(create_sa): sa created,
(sa) sa dest= 172.16.2.1, sa prot= 50,
584 Часть VI. Виртуальные частные сети, использующие IPSec

sa_spi= OxlC060C65D70158437),
sa trans= esp-des esp-md5-hmac , sa conn_id= 6
.' Ассоциации защиты IPSec установлены и можно начинать защищенный обмен данными.
RouterAif
Настройка IPSec для работы
с шифрованными оказиями
Шифрованные по методу RSA оказии обеспечивают надежный метод аутентифи-
аутентификации сторон IPSec и соответствующих сообщений в процессе обмена ключами Диф-
фи-Хеллмана. Оказия представляет собой псевдослучайное целое число, значение ко-
которого шифруется с помощью алгоритма RSA. Это шифрованное значение использу-
используется для аутентификации сторон IPSec подобно заранее согласованным ключом.
Недостаток этого метода аутентификации заключается в том, что шифрованные ока-
оказии допускают возможность отречения — получатель сообщения не сможет доказать, что
отправителем сообщения является сторона, указанная в сообщении в качестве источни-
источника. (Невозможность отречения обеспечивают подписи RSA.) Еще один недостатком яв-
является сложность настройки системы для работы с шифрованными оказиями.
Для использования шифрованных с помощью RSA оказий требуется, чтобы сторо-
стороны имели открытые ключи RSA партнеров, но центр сертификации использовать для
этого не требуется. У сторон есть две возможности получить открытые ключи партне-
партнеров, участвующих в обмене данными:
• ввести значения ключей RSA вручную (в конфигурацию соответствующих уст-
устройств);
• использовать подписи RSA, которые применялись ранее в процессе успешно
проведенного обмена IKE с удаленной стороной.
В этом разделе подчеркиваются различия между процессами настройки шифрова-
шифрования RSA и использования согласованных ключей. Более подробную информацию вы
найдете в документации Cisco IOS, ссылки на которую имеются в конце этой главы.
Процесс настройки IPSec для использования шифрования RSA очень напоминает
процесс настройки IPSec для работы с согласованными ключами, за исключением не-
нескольких важных моментов. Задачи, которые при этом необходимо решить, можно
сформулировать следующим образом.
• Задача I. Подготовка к использованию IPSec, предполагающая определение поли-
политики шифрования RSA и выбор метода распределения открытых ключей RSA
• Задача 2. Размещение значений ключей RSA вручную.
• Задача 3. Настройка параметров IKE, соответствующих применению шифрова-
шифрования RSA в качестве метода аутентификации в рамках политики IKE.
• Задача 4. Настройка конфигурации IPSec, выполняемая аналогично настройке
IPSec для работы с согласованными ключами.
• Задача 5. Тестирование и контроль IPSec, а также выполнение дополнительных
команд управления открытыми ключами RSA
Глава 16. Настройка Cisco IOS для поддержки IPSec 585

Задача 1. Подготовка к использованию IPSec
Непосредственно подготовка к применению шифрования RSA заключается в сле-
следующем.
• Выбор методов распределения ключей в зависимости от числа и размещения сторон
IPSec. Критерием выбора шифрования RSA является небольшое число сторон
IPSec и возможность внесетевого распределения открытых ключей RSA.
• Выбор метода аутентификации. Применение шифрования RSA для более надеж-
надежной аутентификации по сравнению с методом использования заранее согласо-
согласованных общих ключей.
• Определение политик IKE для сообщающихся сторон. Определение элементов поли-
политики для каждой из сторон, в частности выяснение точных имен доменов и хостов
(при шифровании RSA используется идентификация IKE по имени хоста).
• Выяснение IP-адресов маршрутизаторов и имен хостов сторон IPSec. Необходимо
выяснить параметры всех сторон IPSec, которые будут использовать IKE для
создания ассоциаций защиты, точно так же как это требовалось при использо-
использовании согласованных ключей.
• Проверка правильности значений открытых ключей RSA в текущей конфигура-
конфигурации маршрутизаторов сообщающихся сторон.
Задача 2. Настройка шифрования RSA
Данную задачу можно разделить на ряд шагов, отличающихся от тех, которые вы-
выполнялись при использовании заранее согласованных общих ключей. Настройка клю-
ключей RSA предполагает выполнение следующих действий.
Шаг 1. Составление плана настройки шифрования RSA с целью уменьшения вероят-
вероятности ошибок.
Шаг 2. Внесение в конфигурацию маршрутизатора имен хоста и домена (если они
еще не были указаны).
Шаг 3. Генерирование ключей RSA.
Щаг 4. Ввод значений открытых ключей RSA. Этот шаг состоит из нескольких более
мелких шагов. Здесь нужно быть предельно внимательным — ошибки при
вводе ключей ведут к тому, что ключи работать не будут.
Шаг 5. Управление ключами RSA. Удаление старых ключей является частью процесса
настройки. Старые ключи могут занимать много места.
ШаМ. План использования ключей RSA
До того как начать ввод конкретных команд, необходимо составить план размеще-
размещения ключей шифрования RSA. Этот шаг планирования поможет свести число ошибок
конфигурации к минимуму. Действия при этом должны быть следующими.
• Идентификация сторон, которые будут использовать шифрование RSA. Выяснение па-
параметров всех сторон IPSec, предполагающих использование шифрованных оказий.
Обычно это маршрутизаторы Cisco с программным обеспечением Cisco IOS.
• Выбор типа ключей RSA. Принятие решения о том, какие ключи RSA использо-
использовать: общие или специальные.
586 Часть VI. Виртуальные частные сети, использующие IPSec

• Определение длины модуля для ключей RSA. Выбор длины модуля из диапазона
от 360 до 2048 бит. При генерировании модуля свыше 512 бит может понадо-
понадобиться несколько минут. Чем больше длина модуля, тем надежнее соответст-
соответствующий ключ RSA.
• Получение открытых ключей RSA удаленных сторон. Необходимо получить стро-
строки открытых ключей RSA всех сторон. Строка ключа представляет собой боль-
большое шестнадцатеричное число. Стороны должны обменяться соответствующи-
соответствующими значениями каким-то защищенным способом.
Шаг 2. Указание имен хоста и домена маршрутизатора
Необходимо указать имена хоста и домена, соответствующие маршрутизатору, по-
поскольку шифрование RSA использует их наряду со значением оказии для идентифи-
идентификации объекта IKE. Ниже описаны команды, которые необходимо при этом исполь-
использовать (более подробные описания команд вы найдете в руководствах Security
Configuration Guide и Security Command Reference).
1. Укажите имя хоста для маршрутизатора с помощью команды hostname имя. Имя хоста
используется при генерировании ключей RSA и идентификации объекта IKE.
2. Введите команду ip domain-name имя, чтобы описать имя домена по умолчанию,
используемое для завершения свободных имен хостов. Не включайте в него точ-
точку, отделяющую свободное имя (имя узла) от имени домена. Чтобы отключить
использование DNS, используйте эту команду с префиксом по.
3. Определите статическое отображение имен хостов в адреса с помощью команды
ip host name address, если сервер имен доменов будет не способен определить
имена доменов. Чтобы удалить отображение имен в адреса, используйте эту ко-
команду с префиксом по.
Шаг 3. Генерирование ключей RSA
Вручную настройте параметры ключей RSA, а затем проверьте сгенерированные
ключи, выполнив следующие действия.
1. Создайте ключи RSA с помощью команды crypto key generate rsa [usage-keys].
Необязательное ключевое слово usage-keys заставляет систему сгенерировать две
пары специальных ключей RSA (одну пару для шифрования, а другую — для
подписи) вместо одной пары универсальных ключей.
2. Проверьте значение созданного открытого ключа RSA с помощью команды show
crypto key mypubkey rsa привилегированного режима EXEC.
Пар ключей RSA по умолчанию не существует. Ключи RSA генерируются пара-
парами — один открытый и один личный. Если маршрутизатор уже имеет ключи RSA, то
при вводе команды crypto key generate rsa появляется предупреждение и предложе-
предложение о замене существующих ключей новыми. Соответствующая команда не сохраня-
сохраняется в конфигурации маршрутизатора, но созданные с помощью этой команды ключи
сохранятся в секретной части памяти NVRAM (содержимое которой нельзя увидеть
или скопировать в память другого устройства).
Ключи специального назначения
При генерировании ключей специального назначения будут созданы две пары
ключей RSA. Одна пара используется политиками IKE, определяющими аутентифи-
Глава 16. Настройка Cisco IOS для поддержки IPSec 587

кацию с помощью подписей RSA, а другая — политиками IKE, определяющими ау-
аутентификацию с помощью шифрованных оказий.
Ключи специального назначения имеет смысл создавать тогда, когда вы планируе-
планируете использовать оба типа аутентификации RSA. При наличии таких ключей, каждый
из них предъявляется только по мере необходимости (применение для двух методов
аутентификации одного ключа увеличивает "засветку" этого ключа).
Универсальные ключи
При генерировании универсальных ключей создается только одна пара ключей RSA, и
она используется политиками IKE, определяющими использование как подписей RSA, так
и шифрованных с помощью RSA оказий. Таким образом, пара универсальных ключей
может использоваться чаще, чем пара ключей специального назначения.
Длина модуля
Процесс генерирования ключей может занять много времени, в зависимости от типа
маршрутизатора и выбираемой длины ключа. При генерировании ключей RSA необходи-
необходимо указать длину модуля. Более длинный модуль обеспечивает более сильную защиту, но
тогда для создания ключей требуется больше времени, а для аутентификации первой фазы
IKE необходимо выполнение большего числа операций. Для надежности защиты Cisco ре-
рекомендует указывать для модулей значение, не меньшее 1024. В табл. 16.4 показано,
сколько времени требуется для создания ключей при разных длинах модуля.
Маршрутизатор
Cisco 2500
Cisco 4700
360 бит
11с
Менее 1 с
512 бит
20 с
1с
1024 бит
4 мин 38 с
4с
2048 бит
Более 1 часа
50 с
Пример генерирования ключей RSA
В примере 16.21 показан диалог команды crypto key generate rsa при генериро-
генерировании универсальных ключей.
Приме
generate.rsa при генерировании'
RouterA(config)* crypto key generate rsa
The name for the keys will be: RouterA.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for
your Signature Keys.
Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 512 Generating RSA keys ... [OK]
% Key pair was generated at: 23:59:59 UTC Feb 29 2000
RouterA* show crypto key mypubkey rsa
Key name: RouterA.cisco.com
Usage: General Purpose Key
Key Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00A9443B 62FDACFB
CCDB8784 19AE1CD8 95B30953 1EDD30D1 380219D6 4636E015 4D7C6F33 4DC1F6E0
C929A25E 521688A1 295907F4 E98BF920 6A81CE57 28A21116 E3020301 0001
588
Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 4. Ввод значений открытых ключей RSA
Вы должны вручную ввести открытые ключи RSA каждой из сторон, выполнив
следующие действия.
1. Введите команду crypto key pubkey-chain rsa.
2. Укажите addressed-key или named-key и введите адрес или имя. (Если для иден-
идентификации IKE указан параметр address, выберите addressed-key, a named-key
выбирается тогда, когда для идентификации IKE указан параметр hostname.)
3. Введите значение открытого ключа RSA стороны-партнера.
Замечание
Обе стороны IPSec должны использовать один и тот же тип ключей (именованные или
адресованные). Например, если вы укажете addressed-key, то и удаленная сторона
должна указать addressed-key. To же можно сказать и о применении команды named-key.
Чтобы ввести открытые ключи RSA удаленной стороны, необходимо выполнить
следующие действия.
1. Введите команду crypto key pubkey-chain rsa, чтобы перейти в режим конфигу-
конфигурации открытых ключей. Эта команда открывает режим config-pubkey-chain, в
котором у вас имеется возможность указать открытые ключи RSA сторон вруч-
вручную. Укажите, каким будет ключ (именованным или адресованным, ключом
шифрования или ключом подписи), используя для этого следующие команды,
addressed-key адрес-ключа [encryption | signature]
named-key имя-ключа [encryption | signature]
Эти команды определяют, открытый ключ RSA какой удаленной стороны вы со-
собираетесь вводить. В результате ввода этих команд открывается режим config-
pubkey-key. Об этих командах необходимо знать следующее:
• если удаленная сторона использует для идентификации IKE имя хоста, вос-
воспользуйтесь командой named-key и укажите в качестве имени ключа полное
доменное имя удаленной стороны (например, somerouter.domain.com);
• если удаленная сторона использует для идентификации IKE IP-адрес, приме-
примените команду addressed-key и укажите в качестве имени ключа IP-адрес уда-
удаленной стороны;
• необязательное ключевое слово encryption указывает на то, что определяемый
открытый ключ RSA будет ключом специального назначения, используемым
для шифрования RSA;
• необязательное ключевое слово signature указывает на то, что определяемый
открытый ключ RSA будет ключом специального назначения, используемым
для подписей RSA;
• если ни encryption, ни signature не указывать, будут определены универсаль-
универсальные ключи.
2. Укажите открытый ключ RSA удаленной стороны, выполнив следующие действия:
• введите команду key-string (эта команда открывает режим config-pubkey);
Глава 16. Настройка Cisco IOS для поддержки IPSec 589

• введите (в шестнадцатеричном формате) строку открытого ключа RSA удаленной
стороны, скопированную с соответствующего устройства удаленной стороны;
• введите команду quit (в результате чего маршрутизатор вернется в режим
config-pubkey-key).
3. Повторите указанные действия, чтобы описать открытые ключи RSA всех других сто-
сторон IPSec, использующих шифрованные с помощью RSA оказии в политике IKE.
4. Выйдите из режима pubkey-key, воспользовавшись командой exit.
5. Вернитесь в режим глобальной конфигурации, нажав <Ctrl+Z>.
6. Проверьте список всех открытых ключей RSA, хранимых в памяти маршрутиза-
маршрутизатора, или ознакомьтесь с подробной информацией о конкретном открытом ключе
RSA, воспользовавшись для этого следующей командой.
show crypto key pubkey-chain rsa [name имя-ключа | address адрес-ключа]
В следующих разделах приводятся примеры размещения открытых ключей RSA сторон.
Пример размещения универсального открытого ключа RSA с помощью
команды addressed-key
В примере 16.22 показаны команды, выполняемые при размещении универ-
универсального открытого ключа RSA с помощью команды addressed-key. Перед этим
вы должны использовать команду show crypto key pubkey-chain rsa, чтобы выяс-
выяснить, какие типы ключей уже определены, с целью перехода в соответствующий
режим с помощью команды crypto key pubkey-chain rsa. Обратите внимание на
то, что для поля Usage в примере указано General, поскольку был определен уни-
универсальный ключ.
RouterA(config)* crypto key pubkey-chain rsa
RouterA(config-pubkey-chain)jf addressed-key 172.16.2.1
RouterA(config-pubkey-key)# key-string
Enter a public key as a hexadecimal number ....
RouterA(config-pubkey)jf <Строка открытого ключа RSA маршрутизатора В в
шестнадцатеричном форчате>
RouterA(config-pubkey)jf quit
RouterA(config-pubkey-key)# "Z
RouterAif show crypto key pubkey-chain rsa
Codes: M - Manually configured, С - Extracted from certificate
Code Usage IP-Address Name
M General 172.16.2.1
Пример размещения открытого ключа шифрования RSA с помощью
команды addressed-key
В примере 16.23 используется ключевое слово encryption, в результате чего созда-
создается ключ, используемый только для шифрования RSA.
590 Часть VI. Виртуальные частные сети, использующие IPSec

RouterA(config)jf crypto key pubkey-chain rsa
RouterA(config-pubkey-chain)jf addressed-key 172.16.2.1 encryption
RouterA(config-pubkey-key)¦ key-string
Enter a public key as a hexadecimal number
RouterA(config-pubkey)jf <Строка открытого ключа RSA маршрутизатора В>
RouterA(config-pubkey)if quit
RouterA(config-pubkey-key)* exit (или AZ)
RouterAfconfig-pubkey-chain)¦ exit
RouterA(config)jf quit
RouterAif show crypto key pubkey-chain rsa
Codes: M - Manually configured, С - Extracted from certificate
Code Usage IP-Address Name
M Encrypt 172.16.2.1
Пример размещения универсального открытого ключа RSA с помощью
команды named-key
В примере 16.24 используется команда named-key. Эта команда должна применяться
тогда, когда маршрутизатор имеет только один интерфейс, выполняющий функции IPSec.
ного универсального открытого
М-.* i.
RouterA(config)* crypto key pubkey-chain rsa
RouterA(config-pubkey-chain)if named-key routerB.cisco.com
RouterAfconf ig-pubkey-key) ¦ key-string
Enter a public key as a hexadecimal number ....
RouterA(config-pubkey)if <Строка открытого ключа RSA маршрутизатора В>
RouterA(config-pubkey)if quit
RouterA(config-pubkey-key)if exit (или *Z)
RouterAfconfig-pubkey-chain)¦ exit
RouterA(config)jf quit
RouterAlf show crypto key pubkey-chain rsa
Codes: M—Manually configured, С—Extracted from certificate
Code Usage IP-Address Name
M General 172.16.2.1 routerb.cisco.com
Чтобы отобразить подробную информацию о конкретном открытом ключе RSA,
хранящемся в маршрутизаторе, используйте ключевые слова name или address, как
показано в примере 16.25.
р 16.25. Отрбражени
робной информации обо
RouterAif show crypto key pubkey-chain rsa address 172.16.2.1
Key name: routerB.cisco.com
Глава 16. Настройка Cisco IOS для поддержки IPSec
591

Usage: General Purpose Key
Source: Manual
Data:
305C300D 06092A86 4886F70D 01010105 00034B00 30480241 00DF6544 9A837659
C283B198 F57BF7E8 FF1018BC 90826E89 6E20943C E3992543 AF9BF7A0 107911ED
EBD6302E C134FB9E 6A34DDF2 46FE0921 377B7F63 D8702364 B1020301 0001
Шаг 5. Управление ключами RSA
Для удаления всех ключей RSA вашего маршрутизатора используйте команду
crypto key zeroize rsa глобальной конфигурации.
Замечание
Применение команды write erase в маршрутизаторе не приводит к удалению всех
ключей. Чтобы удалить ваши собственные открытые ключи, используйте команду
crypto key zeroize rsa.
Удаление открытых ключей RSA
Чтобы удалить открытые ключи RSA удаленной стороны из своего маршрутизато-
маршрутизатора, выполните следующие действия.
1. Используйте команду show crypto key pubkey-chain rsa, чтобы выяснить пара-
параметры ключа RSA, который вы собираетесь удалить. Параметрами ключа являют-
являются его назначение, тип (именованный или адресованный) и имя.
2. Войдите в режим конфигурации ключей с помощью команды crypto key pubkey-
chain rsa.
3. Удалите открытый ключ RSA удаленной стороны с помощью команды no named-
key имя-ключа [encryption | signature] или по addressed-key адрес-ключа
[encryption | signature]. Укажите при этом полное доменное имя или IP-адрес
удаленной стороны.
4. Возвратитесь в режим глобальной конфигурации с помощью команды exit.
В примере 16.26 показано, как удалить открытый ключ RSA удаленной стороны.
RouterA(config)! crypto key pubkey-chain rsa
RouterA(config-pubkey-chain)! no addressed-key 172.16.2.1
RouterA(config-pubkey-chain)! no named-key routerB.cisco.com encryption
RouterA(config-pubkey-chain)t no named-key routerB.cisco.com signature
Задача З. Настройка IKE для работы
с шифрованными оказиями
Настройка IKE для шифрования RSA предполагает выбор шифрования RSA в ка-
качестве метода аутентификации в рамках политики IKE. Шифрование RSA выбирается
с помощью команды crypto isakmp policy, которая переводит систему в командный
592 Часть VI. Виртуальные частные сети, использующие IPSec

режим config-isakmp. После этого вы можете указать метод аутентификации rsa-encr,
как показано в примере 16.27.
Пример 16.27. Выбор метода аутентификации rsa-encr
Router (config)l crypto isakmp policy 110
Router (config-isakmp )¦ authentication rsa-encr
Router (config-isakmp) it exit
Обратите внимание на то, как в примере 16.28 обозначается шифрование RSA сре-
среди других параметров политики (политика по умолчанию не показана).
Router(config) it show crypto isakmp policy
Protection suite of priority 110
encryption algorithm: DES - Data Encryption Standard E6 bit keys).
hash algorithm: Message Digest 5
authentication method: Rivest-Shamir-Adleman Encryption
Diffie-Hellman group: 11 G68 bit)
lifetime: 86400 seconds, no volume limit
Замечание
Остальные задачи и действия, касающиеся настройки IKE и IPSec, аналогичны тем,
которые выполняются при использовании согласованных ключей и описаны выше в
разделах "Задача 2. Настройка IKE для работы с общими ключами", "Задача 3. На-
Настройка IPSec" и "Задача 4. Тестирование и контроль IPSec".
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Перед тем как приступить к изменению конфигурации устройств, специалисты
Cisco советуют рассмотреть все элементы политики шифрования для IKE и
IPSec — чтобы уменьшить вероятность ошибок конфигурации и иметь под ру-
рукой информацию, которая может понадобиться в процессе настройки.
• Основными предварительными шагами при настройке IPSec являются проверка
текущей конфигурации IPSec, выяснение параметров сторон IPSec, проверка
связности сети без шифрования и того, что списки доступа маршрутизатора
разрешают трафик IPSec.
• Наборы преобразований состоят из одного или нескольких преобразований
IPSec, определяющих непосредственно преобразование и режим IPSec.
• Наборы преобразований можно группировать в криптографической карте, что-
чтобы иметь возможность согласовать подходящий набор преобразований в быст-
быстром режиме второй фазы IKE.
• Списки шифрованного доступа используют расширенные списки доступа IP
для определения трафика, который должен быть шифрованным.
Глава 16. Настройка Cisco IOS для поддержки IPSec 593

• Списки шифрованного доступа действуют аналогично спискам исходящего доступа,
в которых команда разрешения (permit) означает необходимость шифрования.
• Между списками шифрованного доступа соответствующих сторон должно быть
"зеркальное" соответствие.
• Криптографические карты объединяют все параметры IPSec и применяются к
интерфейсам, открывая возможность создания ассоциаций защиты IPSec.
• Тестирование IPSec и поиск соответствующих неполадок выполняется с помо-
помощью команд show и debug.
• При использовании шифрованных оказий для аутентификации необходимо вы-
выбрать пары ключей RSA, обменяться открытыми ключами RSA и указать метод
rsa-encr для аутентификации IKE.
Практическое занятие. Настройка
IPSec Cisco IOS для работы с общими
ключами
В ходе этого практического занятия будет выяснено, как настроить средства под-
поддержки IPSec в сети гипотетической компании XYZ. Прочитайте план практического
занятия, рассмотрите схему топологии сети, ознакомьтесь с политикой защиты, а за-
затем проанализируйте предлагаемые примеры конфигурации, чтобы увидеть, как тре-
требования политики защиты реализуются в виде команд маршрутизатора Cisco.
План практического занятия
Компании XYZ необходимо гарантировать целостность потока данных при обмене
между центральным офисом и удаленным подразделением. Компания хотела бы также
обеспечить быструю и надежную связь с удаленным подразделением через Internet,
вместо создания линии, использующей технологию ретрансляции кадров. Было при-
принято решение создать защищенную сеть VPN, связывающую территориальную сеть
предприятия и сеть удаленного подразделения. Для создания VPN компания предпо-
предпочитает использовать уже имеющийся маршрутизатор периметра.
Топология
На рис. 16.3 показана схема части сети компании XYZ, настройки которой будут
обсуждаться в ходе этого практического занятия. В центре внимания будут находиться
маршрутизаторы периметра взаимодействующих сторон.
Политика защиты сети
Давайте рассмотрим политику сетевой защиты, которую намерена реализовать
компания XYZ.
• Необходимо использовать Internet, чтобы связать сеть удаленного подразделе-
подразделения с корпоративной сетью и обеспечить возможность передачи данных.
594 Часть VI. Виртуальные частные сети, использующие IPSec

Необходимо аутентифицировать трафик между корпоративной сетью и филиа-
филиалами, чтобы никто не мог модифицировать или фальсифицировать пакеты во
время их передачи.
Удаленное
подразделение
172.16.2.1
SO 172.16.1.1
.2е1
Маршрутизатор
периметра
192.168.1.0/24
Обозре- Сервер
ватель сертификации
Web 192.168.255.2
"Грязная"
•4 ДМЗ
Бастион- Бастион-
Бастионный ный
хост хост
,1е0
„J е2192.168.11.0/24 Защищенная
ДМЗ
Удаленный
клиент
Брандмауэр PIX
Бастион- Бастион-
Бастионный ный
хост хост
Маршрутизатор
территориальной
сети
10.12 0 СеРвеР
сетевого
доступа
Клиент Сервер
Удаленный доступ
Сервер CiscoSecure ACS,
Web, FTP, TFTP, syslog
Сервер
SMTP
Сервер
DNS
Рис. 16.3. Маршрутизаторы периметра сети компании XYZ должны использовать IPSec
• Целостность потока данных между корпоративной сетью и филиалами через
Internet должно гарантировать шифрование DES с 56-битовым ключом.
• Для аутентификации IKE следует использовать заранее согласованные общие
ключи.
Пример конфигурации маршрутизатора периметра
Рассмотрим вариант конфигурации маршрутизатора Perimeterl в сети компании XYZ
(пример 16.29). Здесь показана одна из возможных конфигураций, реализующих опи-
описанную выше политику защиты для IPSec. Можно настроить маршрутизатор иначе,
обеспечив выполнение тех же требований. Обратите внимание на комментарии, объяс-
объясняющие связь команд конфигурации с конкретными требованиями политики защиты.
Глава 16. Настройка Cisco IOS для поддержки IPSec
595

Команды, связанные с неиспользуемыми интерфейсами, и другие не относящиеся к
рассматриваемому вопросу команды были из листинга удалены. (Показанная конфигу-
конфигурация соответствует маршрутизатору Cisco 1720.)
[;Прйм|| 16.29. Вариант конфигурации IPSec для маршрутизатора
Current configuration:
i
version 12.0
hostname Perimeterl
i
boot system flash cl700-osy56i-mz_120-3_T3.bin
i
.' Использоваиие согласованных общих ключей IKE для аутеитификации
crypto isakmp policy 108
hash md5
authentication pre-share
crypto isakmp key mcns address 172.16.2.1
.' Целостность трафика через Internet (между корпоративной сетью и удалеииыми офисами)
! обеспечивается шифрованием DES с 56-битовым ключом.
crypto ipsec transform-set Is2 esp-des esp-md5-hmac
crypto map shared 10 ipsec-isakmp
set peer 172.16.2.1
set transform-set 1&2
match address 151
interface SerialO
ip address 172.16.1.1 255.255.255.252
ip access-group 101 in
crypto map shared
!
! interface Seriall
no ip address
no ip directed-broadcast
shutdown
!
interface FastEthernetO
ip address 192.168.1.2 255.255.255.0
ip access-group 102 in
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.2
no ip http server
596 Часть VI. Виртуальные частные сети, использующие IPSec

.' Адрес 192.168.1.10 соответствует статике PIX, указывающей на хост Ш1
! С адресом 10.1.1.4.
access-list I permit 192.168.1.10
access-list 16 permit 192.168.255.2
access-list 16 deny any log
Следующие З строки разрешают трафик IPSec
access-list 101 permit ahp host 172.16.2.1 host 172.16.1.1
access-list 101 permit esp host 172.16.2.1 host 172.16.1.1
access-list 101 permit udp host 172.16.2.1 host 172.16.1.1 eq isakmp
access-list 101 deny ip 127.0.0.0 0.255.255.255 any log
access-list 101 deny ip 255.0.0.0 0.255.255.255 any log
access-list 101 deny ip 224.0.0.0 7.255.255.255 any log
access-list 101 deny ip host 0.0.0.0 any log
access-list 101 deny ip 192.168.1.0 0.0.0.255 any log
access-list 101 deny ip 10.0.0.0 0.255.255.255 any log
access-list 101 deny udp any any eq snmp
access-list 101 permit tcp any host 192.168.1.4 eq smtp
access-list 101 permit tcp any host 192.168.1.3 eq www
access-list 101 permit tcp any host 192.168.1.3 eq 443
access-list 101 permit tcp any host 192.168.1.3 eq ftp
access-list 101 permit tcp any host 192.168.1.3 gt 1023
access-list 101 permit icmp any 192.168.1.0 0.0.0.255 echo-reply
access-list 101 permit icmp any host 172.16.1.1 echo-reply
access-list 101 permit icmp host 192.168.255.2 host 172.16.1.1 echo
access-list 101 permit udp any host 192.168.1.3 eq domain
access-list 101 permit tcp host 192.168.255.2 host 192.168.1.3 eq nntp
access-list 101 permit udp host 192.168.255.2 host 192.168.1.3 eq ntp
access-list 101 deny icmp any host 192.168.1.1 echo log
access-list 101 deny tcp any host 192.168.1.1 eq telnet log
access-list 101 deny tcp any host 172.16.1.1 eq telnet log
access-list 101 deny tcp any host 192.168.1.2 eq telnet log
access-list 101 deny ip any any log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny ip any any log
access-list 151 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 151 deny ip any any
no cdp run
!
line con 0
exec-timeout 0 0
logging synchronous
login local
transport input none
line aux 0
no exec
login local
line vty 0 4
Глава 16. Настройка Cisco IOS для поддержки IPSec 597

access-class 1 in
login local
!
end
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Какая политика IKE (первая фаза) принимается по умолчанию?
2. Почему для просмотра политик IKE нужно использовать команду show crypto
isakmp policy, а не show running-config?
3. Какие протоколы и порты должны быть доступны для интерфейса, использую-
использующего IPSec?
4. Как активизировать IKE для одного конкретного интерфейса, но не для другого?
5. Сколько преобразований ESP можно определить одновременно?
6. Где можно указать предел времени существования ассоциации защиты IPSec?
7. Какая команда используется для того, чтобы определить трафик, подлежащий
защите?
8. Как применить криптографическую карту к интерфейсу?
9. Когда инициализируются ассоциации защиты IPSec при настройке IKE?
10. Вы считаете, что IPSec работает неправильно. Проверив конфигурацию, вы не
смогли определить причину возникновения проблемы. Что вам делать дальше?
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Обратитесь к главе "IP Security and Encryption Overview" руководства Cisco IOS Re-
Release 12.0 Security Configuration Guide, чтобы выяснить, как IPSec и связанные с IPSec
протоколы поддерживаются в маршрутизаторах Cisco.
Конфигурация IKE
В руководстве Cisco IOS Release 12.0 Security Configuration Guide (см. раздел "IP Se-
Security and Encryption" главы "Configuring Internet Key Exchange Security Protocol") вы
найдете общее описание процесса настройки IKE в маршрутизаторах Cisco.
В руководстве Cisco IOS Release 12.0 Security Command Reference (см. раздел "IP Se-
Security and Encryption" главы "Router and Network Monitoring Commands") содержатся
описания конкретных команд, которые можно использовать для настройки системы
защиты в маршрутизаторах Cisco.
598 Часть VI. Виртуальные частные сети, использующие IPSec

Конфигурация IPSec
В руководстве Cisco IOS Release 12.0 Security Configuration Guide (см. раздел "IP Se-
Security and Encryption" главы "Configuring IPSec Network Security") вы найдете общее
описание процесса настройки IPSec в маршрутизаторах Cisco.
В руководстве Cisco IOS Release 12.0 Security Command Reference (см. раздел "IP Se-
Security and Encryption" главы "Configuring IPSec Network Security") содержатся описа-
описания конкретных команд, которые можно использовать для настройки IPSec в маршру-
маршрутизаторах Cisco.
Расширенные списки доступа IP
В руководстве Cisco IOS Release 12.0 Network Protocols Configuration Guide. Part 1 (см.
раздел "Filter IP Addresses" главы "Configuring IP Services") содержится информация о
том, как настроить стандартные и расширенные списки доступа.
В руководстве Cisco IOS Release 12.0 Network Protocols Configuration Guide. Part 1 (см.
раздел "IP Addressing and Services" главы "IP Services Commands") предлагается опи-
описание конкретных команд стандартных и расширенных списков доступа.
Системные сообщения об ошибках и сообщения
отладки
В документе Cisco IOS Release 12.0 Cisco IOS Software System Error Messages вы най-
найдете конкретную информацию, касающуюся системных сообщений об ошибках.
В документе Cisco IOS Release 12.0 Debug Command Reference представлена конкрет-
конкретная информация, касающаяся команд debug и их сообщений.
Глава 16. Настройка Cisco IOS для поддержки IPSec 599

Изучив материал данноп маки. i,i.i смплси- ш.шилтти 11. >. i.-.imuiiicc.
• Описать задачи и дсйспшя. bmi:o шч.-мм.- в процессе настройки ||*ч.ч i> пр.пп-
мауэре PIX Firewall
• Указать к|рв|ры, исполняемые для нацроики шифровки lPbec в брандмау-
брандмауэре PI
спользован^м заранее согласо-
IPSec в
Нас
Sec
в брандмауэре Р
лх кШчей аутентШи
• .«йполн
бр.ш

Глава
17
Настройка IPSec
рандмауэре PIX Firewall
ве показано, как настроить средства IPSec в брандмауэре PIX Firewall с
заранее согласованных ключей аутентификации. Здесь описываются
, выполняемые в процессе настройки параметров IPSec, рассматри-
IPSec команды брандмауэра PIX Firewall и примеры их использо-
глава практическим занятием, демонстрирующим на примере сети
1жности использования IPSec в брандмауэре PIX Firewall.
и действия, описанные в данной главе, почти идентичны тем,
полнить при размещении общих ключей в рамках программного
. главу 16). Применяемые команды тоже мало чем отличаются,
ный код для IPSec, используемый в программном обеспе-
[есен разработчиками в брандмауэр PIX Firewall.
PIX Firewall хороши тем, что все они вводятся в режиме
подчиненных режимов, что упрощает задачи конфигурации
ия. Чтобы больше узнать о том, как IKE и IPSec работают с
щими ключами, снова обратитесь к главе 16.
ется настройка брандмауэра PIX Firewall на выполнение
Sec, который должен шифровать и защищать трафик сетей,
ром, используя для аутентификации заранее согласованные
параметры использования согласованных общих ключей
сеансов IPSec относительно легко, но такое решение не
числа клиентов IPSec. Освоив описанный в данной главе
ить систему на использование подписей RSA (эта тема бу-
щей главе),
а упрощенная топология сети компании XYZ, используемая в
/Команды
кффигураци
и соответствую!
заЩнее согласо;
|елью эр
|ций
ючи. Н
аутентиф
лемо для
ее, вы см
суждаться* в
Сайт 2
10.2.1.4
/ /
еО 192.168.1.1 sO 172.16.1.2 sO 172.16.2.2 еО 192.168.2.1
'. Топология сети компании XYZ для использования IPSec в брандмауэрах PIX Firewall

В процессе настройки средств шифрования IPSec брандмауэра PIX Firewall, исполь-
использующих согласованные общие ключи, необходимо решить следующие четыре задачи.
• Задача 1. Подготовка к использованию IPSec. Данная задача включает определение
деталей политики шифрования, идентификацию хостов и сетей, которые необходи-
необходимо защитить, выяснение характеристик сторон IPSec, возможностей IPSec, которые
будут необходимы, а также проверку того, что существующие списки доступа, при-
применяемые для фильтрования пакетов, позволяют использовать IPSec.
• Задача 2. Настройка IKE для работы с заранее согласованными ключами. Пред-
Предполагает активизацию средств IKE, создание политики IKE и проверку пра-
правильности выбранной конфигурации.
• Задача 3. Настройка IPSec. Определение множеств преобразований, создание
списков шифрованного доступа и криптографических карт, а также применение
криптографических карт к соответствующим интерфейсам.
• Задача 4. Тестирование и контроль IPSec. Использование show, debug и других
аналогичных команд для проверки правильности функционирования IPSec и
решения возможных проблем.
В следующих разделах каждая из этих задач конфигурации будет обсуждаться
подробно.
Задача 1. Подготовка
к использованию IPSec
Для успешной реализации сети IPSec требуется тщательно спланировать процесс
настройки взаимодействующих брандмауэров PIX Firewall и других объектов IPSec.
Настройка параметров шифрования IPSec может оказаться достаточно сложным де-
делом. Необходимо начать с определения деталей политики защиты IPSec, основываясь
на общей политике защиты компании, описываемой в приложении Б, "Политика се-
сетевой защиты компании XYZ" (см. также главу 15, "Поддержка IPSec в сетях Cisco",
в которой содержится более подробная информация о том, как планировать настрой-
настройку IPSec). Планирование для IPSec предполагает выполнение следующих действий.
Шаг 1. Определение политики IKE (первая фаза IKE, основной режим) для связи
между сторонами IPSec в зависимости от числа и размещения сторон.
Шаг 2. Определение политики IPSec (вторая фаза IKE, быстрый режим), в частности
такие параметры сторон IPSec, как IP-адреса, а также наборы преобразований
и режимы IPSec.
Шаг 3. Проверка текущей конфигурации с помощью команд write terminal, show
isakmp, show isakmp policy, show crypto map и других команд show.
Шаг 4. Проверка того, что сеть работает без шифрования, чтобы избежать основных
проблем маршрутизации (для этого используется команда ping и тестовый
трафик до включения средств шифрования).
Шаг 5. Проверка того, что существующие списки доступа в маршрутизаторе перимет-
периметра и брандмауэре PIX Firewall позволяют трафик IPSec; в противном случае
соответствующий трафик будет отфильтрован.
602 Часть VI. Виртуальные частные сети, использующие IPSec

Задача 2. Настройка IKE для работы
с общими ключами
Следующей задачей настройки IPSec в брандмауэре PIX Firewall является ввод в кон-
конфигурацию параметров IKE, значения которых были выяснены ранее. Не забывайте о том,
что в командах настройки брандмауэра PIX аббревиатура ISAKMP является синонимом
IKE. Настройка параметров IKE предполагает выполнение следующих шагов.
Шаг 1. Активизация или отключение IKE с помощью команды isakmp enable.
Шаг 2. Создание политик IKE с помощью команд isakmp policy.
Шаг 3. Выбор общих ключей с помощью команды isakmp key и связанных с ней команд.
Шаг 4. Проверка конфигурации IKE с помощью команды show isakmp [policy].
В следующих разделах эти шаги будут описаны подробно.
Шаг 1. Активизация или отключение IKE
Первым шагом настройки IKE является активизация или отключение IKE на ин-
интерфейсах, используемых для создания туннелей IPSec. Чтобы активизировать или от-
отключить IKE для конкретного интерфейса, воспользуйтесь командой isakmp enable.
По умолчанию протокол IKE активизирован, и чтобы отключить его, воспользуйтесь
указанной командой с префиксом по. Данная команда имеет следующий синтаксис:
isakmp enable имя-иитерфейса
Параметр команды представлен в следующей таблице.
Параметр команды Описание
имя-иитерфейса Имя интерфейса, который должен использоваться для переговоров о согласовании IKE
Шаг 2. Создание политик IKE
Следующим шагом настройки средств поддержки IKE в брандмауэре PIX Firewall
является определение набора политик IKE. Цель — создание связи IKE между двумя
конечными точками IPSec. Используйте значения параметров политики IKE, опреде-
определенные на стадии планирования.
В табл. 17.1 указаны элементы политики IKE, настройка которых рассматривается
в примерах данной главы.
Параметр Значение для стороны А Значение для стороны В
Алгоритм шифрования сообщений DES DES
Алгоритм гарантии целостности (алгоритм хэ- MD5 MD5
ширования) сообщений
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 603

Окончание табл. 7.1
Параметр Значение для стороны А Значение для стороны В
Метод аутентификации сторон Заранее согласованные об- Заранее согласованные об-
общие ключи щие ключи
Параметры обмена ключами (идентификатор Группа 1 G68-битовая груп- Группа 1 G68-битовая груп-
группы Диффи-Хеллмана) па Диффи-Хеллмана) па Диффи-Хеллмана)
Предел времени существования ассоциаций 86400 (значение, принятое 86400 (значение, принятое
защиты, установленных с помощью IKE по умолчанию) по умолчанию)
IP-адрес удаленной стороны IPSec 192.168.2.2 192.168.1.2
Для определения политики IKE используется команда isakmp policy. Политика
IKE задает набор параметров, которые должны применяться в процессе согласования
IKE. Чтобы удалить политику IKE, воспользуйтесь этой командой с префиксом по.
Указанная команда имеет следующий синтаксис:
isakmp policy приоритет authentication {pre-share | rsa-sig}
isakmp policy приоритет encryption {des | 3des}
isakmp policy приоритет {groupl | group2}
isakmp policy приоритет hash {md5 | sha}
isakmp policy приоритет lifetime секунды
Параметры команды описаны в следующей таблице.
Параметр команды Описание
policy приоритет Идентифицирует политику IKE и присваивает ей приоритет. Используйте целое
число в диапазоне от 1 до 65534, где 1 определяет наивысший приоритет, а
65534 — наименьший
authentication Предписывает использование метода аутентификации на основе заранее согла-
pre-share сованных общих ключей
authentication rsa-sig Предписывает использование метода аутентификации на основе подписей RSA
encryption dee Предписывает использование в политике IKE шифрования DES-CBC с 56-битовым
ключом. Указанное значение принимается по умолчанию
encryption 3de в Предписывает использование в политике IKE шифрования на основе "тройного" DES
groupl Предписывает использование в политике IKE 768-битовой группы Диффи-
Хеллмана. Указанное значение принимается по умолчанию
group2 Предписывает использование в политике IKE 1024-битовой группы Диффи-Хеллмана
hash md5 Предписывает использование в политике IKE алгоритма MD5 (вариант НМАС) в
качестве алгоритма хэширования
hash sha Предписывает использование в политике IKE алгоритма SHA-1 (вариант НМАС) в каче-
качестве алгоритма хэширования. Это алгоритм хэширования, используемый по умолчанию
lifetime секунды Указывает время (в секундах), в течение которого ассоциация защиты будет су-
существовать, до того как станет недействительной. Используйте целое значение из
диапазона от 60 до 86400 секунд (последнее соответствует одним суткам).
Обычно используют значение по умолчанию, равное 86400
604 Часть VI. Виртуальные частные сети, использующие IPSec

Если для политики не указать какую-либо из этих команд, для соответствующего
параметра будет использоваться значение по умолчанию. Можно восстановить ис-
использование значения по умолчанию с помощью соответствующей команды с пре-
префиксом по. Например, чтобы восстановить использование des в качестве метода
шифрования, отменив ранее указанное предписание применять 3des, можно восполь-
воспользоваться командой no isakmp policy 100 encryption.
За более подробной информацией о вопросах функционирования политики IKE
обратитесь к главе 15, "Поддержка IPSec в сетях Cisco".
Пример конфигурации IKE для двух сторон
В примерах 17.1 и 17.2 показаны варианты политик IKE для брандмауэров PIX 1 и
PIX 2. Обратите внимание на то, что политика с номером 300 в брандмауэре PIX 1 совпа-
совпадает с политикой 100 в брандмауэре PIX 2. Значения по умолчанию не показаны.
арианты политики IKE для брандмауэра PIX1
crypto isakmp policy 100
authentication rsa-sig
crypto isakmp policy 200
authentication pre-share
crypto isakmp policy 300
hash md5
authentication pre-share
Пример|(Ш|1арианты политики IKE для брандмауэра PIX 2
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp policy 200
authentication rsa-sig
group2
lifetime 5000
crypto isakmp policy 300
authentication rsa-sig
lifetime 10000
Шаг З. Выбор согласованных общих ключей
Еще одним шагом настройки средств поддержки IKE в брандмауэре PIX Firewall
является необязательная активизация режима идентификации и размещение общих
ключей. Соответствующие действия описываются в следующих разделах.
Установка режима идентификации
Стороны IPSec аутентифицируют друг друга в процессе согласования IKE посредством
применения заранее согласованных общих ключей и идентификации объекта IKE. Иден-
Идентификация может выполняться либо по IP-адресу стороны, либо по имени хоста. Бранд-
Брандмауэр PIX Firewall по умолчанию использует идентификацию по IP-адресу. Если вы реши-
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 605

те использовать идентификацию по имени хоста, необходимо указать этот метод с помо-
помощью команды конфигурации isakmp identity. Используйте указанную команду с префик-
префиксом по, чтобы восстановить метод идентификации IKE, принятый по умолчанию
(идентификация по адресу). Команда имеет следующий синтаксис:
isakmp identity {address | hostname}
Параметры команды описаны в следующей таблице.
Параметр команды Описание
address Задает идентификацию IKE с помощью IP-адреса интерфейса, используемого для свя-
связи с удаленной стороной в процессе согласования IKE.
Это ключевое слово обычно применяется тогда, когда для обмена IKE сторона исполь-
использует только один интерфейс и известен IP-адрес этого интерфейса
hostname Задает идентификацию IKE по имени хоста и домена (например, myhost.domain.com).
Это ключевое слово применяется тогда, когда для обмена IKE сторона может исполь-
использовать несколько интерфейсов или IP-адрес интерфейса неизвестен (например, при
динамическом выборе IP-адресов)
Если используется метод идентификации по имени хоста, необходимо с помощью
команды name указать имя хоста для удаленной стороны на случай, если сервер имен
доменов (сервер DNS) окажется недоступным или не сможет обработать имя. Указан-
Указанная команда имеет следующий синтаксис:
name ip_anpec имя
Параметры команды описаны в следующей таблице.
Параметр команды Описание
1р_адрес IP-адрес хоста, имя которого указывает команда
имя Имя, присваиваемое указанному IP-адресу. Допустимыми символами для имени явля-
являются a-z, A-Z, 0-9 и символ подчеркивания. Имя не должно начинаться с цифры. Если
имя содержит более 16 символов, команда name генерирует сообщение об ошибке
В примере 17.3 показана команда, задающая в брандмауэре PIX 1 имя для бранд-
брандмауэра PIX 2.
Пример 17.3. Определение имени г ~ "
Pixl(config)! name PIX2.domain.com 192.168.2.2
Выбор общих ключей
Для выбора общих ключей аутентификации необходимо воспользоваться командой
конфигурации isakmp key. Ключ необходимо определять каждый раз, когда указыва-
указывается использование заранее согласованных общих ключей в политике IKE. Чтобы
удалить общий ключ аутентификации, используйте указанную команду с префиксом
по. Синтаксис команды следующий:
isakmp key ключ address адрес [netmask маска]
isakmp key ключ hostname имя-хоста
606
Часть VI. Виртуальные частные сети, использующие IPSec

Параметры команды описаны в следующей таблице.
Параметр команды
ключ
address
адрес
hostname
имя-хоста
netmask маска
Описание
Значение общего ключа. Используйте любую комбинацию буквенно-цифровых симво-
символов длиной до 128 байт. Значения общих ключей должны быть одинаковы в устройст-
устройствах обеих сторон
Используется тогда, когда выбрана идентификация IKE удаленной стороны по IP-адресу
IP-адрес удаленной стороны. Можно указать адрес 0.0.0.0, который означает, что данный
ключ может использоваться любой стороной IPSec, имеющей соответствующий ключ
Используется тогда, когда выбрана идентификация IKE удаленной стороны по имени хоста
Имя хоста удаленной стороны. Это имя хоста, скомбинированное с именем домена
(например, myhost.domain.com)
(необязательный) Описывает сетевую маску. С адресом 0.0.0.0 можно использовать
сетевую маску 0.0.0.0, указывающую на то, что данный ключ применим для любой
стороны, не имеющей ключа, связанного с ее IP-адресом
Замечание
При использовании метода аутентификации IKE с заранее согласованными общими
ключами в устройствах обеих сторон IPSec должны быть указаны одинаковые значе-
значения ключей. При этом настоятельно рекомендуется для разных пар сторон IPSec ис-
использовать разные общие ключи. Использование одного ключа для нескольких пар
IPSec не рекомендуется, поскольку это несет в себе потенциальный риск.
Шаг 4. Проверка конфигурации IKE
Чтобы увидеть параметры размещенных политик и политик, принятых по умолча-
умолчанию, воспользуйтесь командой show isakmp [policy]. Результат наших настроек поли-
политики IKE для брандмауэра PIX 1 показан в примере 17.4 (конфигурация PIX 2 при
этом аналогична).
Pixlt show ieakmp policy
Protection suite of priority
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
Default protection suite
encryption algorithm:
hash algorithm:
authentication method:
Diffie-Hellman group:
lifetime:
100
DES - Data Encryption Standard E6-bit keys)
Message Digest 5
Pre-Shared Key
II G68 bit)
86400 seconds, no volume limit
DES - Data Encryption Standard E6-bit keys)
Secure Hash Standard
Rivest-Shamir-Adleman Signature
II G68 bit)
86400 seconds, no volume limit
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
607

Команда show ieakmp отображает параметры размещенных политик аналогично то-
тому, как это делает команда write terminal (пример 17.5).
петров политик командой show isakmp
Pixljf show isakmp
isakmp enable outside
isakmp policy 100 authentication rsa-sig
isakmp policy 100 encryption 3dee
isakmp policy 100 hash sha
isakmp policy 100 group 1
isakmp policy 100 lifetime 86400
Команда write terminal отображает параметры размещенных политик. В примере
17.6 показан вариант соответствующего вывода.
рймер 17.6. Отображение параметров л
Pixljf write terminal
hosthame Pixl
isakmp enable outside
isakmp key ciscol234 address 192.168.2.2 netmask 255.255.255.255
isakmp policy 100 authentication pre-share
isakmp policy 100 encryption des
isakmp policy 100 hash sha
isakmp policy 100 group 1
isakmp policy 100 lifetime 86400
Здесь общим ключом является ciscol234, а удаленной стороной — брандмауэр PIX 2
с адресом 192.168.2.2.
Задача 3. Настройка IPSec
Еще одной задачей настройки средств поддержки IPSec в брандмауэре PIX Firewall
является размещение ранее определенных параметров IPSec. В этом разделе описы-
описываются действия, выполняемые в процессе настройки IPSec. Давайте рассмотрим дей-
действия, осуществляемые в процессе настройки шифрования IPSec в брандмауэре PIX
Firewall, и соответствующие команды (в дальнейшем каждый из указанных ниже ша-
шагов будет описан подробно).
Шаг 1. Настройка списков шифрованного доступа с помощью команды access-list.
Шаг 2. Настройка наборов преобразований с помощью команды crypto ipsec
transform-eet.
Шаг 3. (Необязательный.) Установка глобальных пределов существования ассоциаций за-
защиты IPSec посредством команды crypto ipsec security-association lifetime.
Шаг 4. Настройка криптографических карт с помощью команды crypto map.
Шаг 5. Применение криптографических карт к интерфейсам посредством команды
crypto map имя-карты interface интерфейс.
608 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 6. Проверка конфигурации IPSec с помощью множества предназначенных для
этого команд show.
В табл. 17.2 указаны элементы политики шифрования IPSec, настройка которых
рассматривается в примерах данной главы.
Параметр
Значение для стороны А
Значение для стороны В
Набор преобразований
Режим IPSec
Алгоритм хэширования
Имя хоста удаленной стороны
Интерфейс
IP-адрес удаленной стороны
IP-адрес хостов, которые должны
быть защищены
Тип трафика для шифрования
Установка ассоциаций защиты
AH-MD5, ESP-DES
Туннельный
MD5
PIX2
Ethernet 0 (внешний)
192.168.2.2
10.1.1.0
TCP
ipsec-isakmp
AH-MD5, ESP-DES
Туннельный
MD5
PIX1
Ethernet 0 (внешний)
192.168.1.2
10.1.2.0
TCP
ipsec-isakmp
Шаг 1. Создание списков шифрованного доступа
Списки шифрованного доступа используются для того, чтобы определить 1Р-трафик,
который следует (или не следует) защищать средствами IPSec. Списки шифрованного
доступа выполняют для IPSec следующие функции:
• указывают поток данных, который должен защищаться средствами IPSec;
• выбирают исходящий трафик, который должен защищаться средствами IPSec;
• обрабатывают входящий трафик, чтобы отбросить трафик, который должен
быть защищен средствами IPSec;
• определяют, принимать ли запросы создания ассоциаций защиты IPSec для со-
соответствующих потоков данных в процессе согласования IKE.
Для создания списков шифрованного доступа используются обычные списки дос-
доступа. Списки шифрованного доступа выявляют трафик, который должен защищаться.
Синтаксис списков шифрованного доступа не отличается от синтаксиса обычных спи-
списков доступа, но значения ключевых слов интерпретируются иначе: permit означает,
что соответствующие пакеты должны шифроваться, a deny — что пакеты шифроваться
не должны. Списки шифрованного доступа подобны спискам доступа, применяемым
к исходящему трафику интерфейса брандмауэра PIX Firewall.
Используя списки шифрованного доступа, можно указать параметры соответст-
соответствующего трафика. Список шифрованного доступа определяется с помощью команды
access-list. Чтобы удалить список доступа, используйте эту команду с префиксом по.
Указанная команда имеет следующий синтаксис:
access-list имя_списка [deny | permit] протокол источник маска источника
[оператор порт [порт]] получатель маска_получателя [оператор порт [порт]]
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
609

Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
иия_списка Указывает имя или номер списка доступа
deny Запрещает использование IPSec для защиты пакета. Не позволяет защищать посред-
посредством шифрования трафик, определенный в контексте конкретной записи криптогра-
криптографической карты
permit Выбирает пакет для защиты IPSec. Заставляет систему защитить с помощью шифро-
шифрования весь трафик IP, соответствующий указанным условиям, используя для этого по-
политику, описанную посредством соответствующей записи криптографической карты
протокол Указывает название или номер протокола IP. Может быть одним из ключевых слов
icmp, ip, tcp или udp или же целым числом от 1 до 254, представляющим номер
протокола IP. Чтобы указать соответствие любому протоколу Internet, используйте
ключевое слово ip
источник Указывают адрес сети или хоста, откуда пакет отсылался или где был принят. Имеется
получатель три способа задания адреса источника или получателя:
• использование 32-битового значения в формате десятичных значений, разделенных
точками;
• использование ключевого слова any в качестве аббревиатуры для параметров ис-
источник и маска-источника или получатель и маска_получателя, обозначающе-
обозначающего выбор 0.0.0.0 0.0.0.0; это ключевое слово использовать не рекомендуется;
• использование hoBt источник или host получатель, что обозначает выбор
255.255.255.255 для параметров маска-источника или маска получателя
Указывает биты группового адреса (сетевую маску), который должен применяться к
значению источник или получатель:
• используйте 32-битовое значение в формате четырех десятичных значений, разде-
разделенных точками; укажите 0 для тех битов, которые должны игнорироваться;
• используйте ключевое слово any в качестве аббревиатуры для параметров источ-
источник и маска-источиика или получатель и маска_получателя, что обозначает
выбор 0.0.0.0 0.0.0.0; это ключевое слово использовать не рекомендуется;
• используйте host источник или host получатель, что обозначает выбор
255.255.255.255 для параметров маска-источника или маска_получателя
оператор (необязательный) Указывает порт или диапазон портов, с которыми должен сравни-
сравниваться порт источника или получателя. Допустимыми значениями являются It
("меньше, чем"), gt ("больше, чем"), eq ("равно"), neq ("не равно") и range
(диапазон, включающий крайние значения). Оператор range требует указания двух
номеров портов. Для остальных операций необходимо указать один номер порта
порт Разрешенные для использования IP-сервисы, основанные на протоколе TCP или UDP.
Укажите порты с помощью имен или чисел из диапазона от 0 до 65535
Вот некоторые дополнительные сведения о списках доступа:
• брандмауэр PIX Firewall версии 5.0 поддерживает протокол IP со степенью де-
детализации только на уровне сетей, подсетей и хостов;
• брандмауэр PIX Firewall версии 5.1 поддерживает детализацию на уровне про-
протоколов TCP или UDP и соответствующих портов;
маска-источника
маска получателя
610
Часть VI. Виртуальные частные сети, использующие IPSec

• использование диапазонов портов значительно увеличивает число туннелей
IPSec, которые могут начинаться или заканчиваться в брандмауэре PIX; для
каждого порта создается новый туннель.
Любой незащищенный входящий трафик, который соответствует записи permit
списка шифрованного доступа в криптографической карте и помечен как трафик
IPSec, будет отвергнут.
Если вам нужно, чтобы определенная часть трафика получала один тип защиты
IPSec (например, только аутентификацию), а другая — иной (например, как аутенти-
аутентификацию, так и шифрование), необходимо создать два списка шифрованного доступа,
определяющие два разных типа трафика.
Внимание!
Специалисты Cisco советуют избегать ключевого слова any при описании адресов
источника или получателя. Настоятельно не рекомендуется использовать опера-
оператор permit any any, поскольку он требует защиты всего исходящего трафика (а
также всего защищенного трафика, направляемого стороне, указанной в соответ-
соответствующей записи криптографической карты) и всего входящего. В результате все
входящие пакеты, не защищенные средствами IPSec, будут отвергнуты. Кроме то-
того, может существенно возрасти нагрузка на процессор и снизиться пропускная
способность сети.
Будьте предельно внимательны при определении условий защиты пакетов в списке
шифрованного доступа. Перед использованием в операторе permit ключевого слова
any необходимо применять набор операторов deny, чтобы отфильтровать трафик, ко-
который не должен защищаться с помощью шифрования (иначе он попадет под дейст-
действие оператора permit, о котором идет речь).
Более подробная информация о том, как настроить списки шифрованного доступа,
содержится в разделе "Шаг 3. Создание списков шифрованного доступа" главы 16.
Настройка симметричных списков шифрованного доступа
Cisco рекомендует создавать для взаимодействующих сторон IPSec
"зеркальные" списки шифрованного доступа. Списки шифрованного доступа двух
взаимодействующих сторон должны быть симметричны. Например, критерии для
источника в брандмауэре PIX 1 должны быть точно такими же, как критерии для
получателя в брандмауэре PIX 2, а критерии для получателя в брандмауэре PIX 1
должны быть точно такими же, как критерии для источника в брандмауэре PIX 2.
В любом брандмауэре PIX Firewall входящий и исходящий трафики оцениваются
с помощью одного списка исходящего доступа IPSec. Критерии этого списка дос-
доступа применяются в прямом направлении к потоку, покидающему брандмауэр
PIX Firewall, и в противоположном — к потоку, входящему в брандмауэр. При
получении шифрованных пакетов от удаленной стороны IPSec брандмауэр PIX
Firewall использует тот же список доступа, чтобы определить, какие входящие па-
пакеты необходимо дешифровать, просматривая в нем адреса источника и получате-
получателя в обратном порядке.
Представленная в примере 17.7 пара списков шифрованного доступа иллюстрирует
причину, по которой рекомендуется использовать симметричные списки доступа (см.
также рис. 17.1, на котором показана схема соответствующей сети).
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 611

шифрованного доступа ''"'¦;' б?нл i:'-
Pixl(config)t show static
static (inside,outside) 192.168.1.9 10.1.1.4 netmask 255.255.255.255 0 0
Pixl(config)! show access-list
access-list 110 permit ip host 192.168.1.9 host 192.168.2.9
Pix2(config)t show static
static (inside,outside) 192.168.2.9 10.2.1.4 netmask 255.255.255.255 0 0
Pix2(config)t show access-list
access-list 101 permit ip host 192.168.2.9 host 192.168.1.9
В этом примере для узла 1 защита IPSec применяется к трафику между хостами
узлов 1 и 2. В брандмауэрах PIX Firewall выполняется трансляция сетевых адресов.
Хост 10.1.1.4 узла 1 статически отображается в глобальный адрес 192.168.1.10 в бранд-
брандмауэре PIX 1, а хост 10.2.1.4 узла 2 — в глобальный адрес 192.168.2.10 в брандмауэре
PIX 2. Списки доступа используют глобальный адрес в команде static, чтобы описать
нужный трафик. Для трафика от хоста узла 1 к хосту узла 2 запись списка доступа в
брандмауэре PIX 1 оценивается следующим образом:
• источником является хост 192.168.1.10 (статически отображаемый в 10.1.1.4);
• получателем является хост 192.168.2.10 (статически отображаемый в 10.2.1.4).
Для входящего трафика от хоста узла 2 к хосту узла 1 та же запись списка доступа
в брандмауэре PIX 1 оценивается следующим образом:
• источником является хост 192.168.2.10 (статически отображаемый в 10.2.1.4).
• получателем является хост 192.168.1.10 (статически отображаемый в 10.1.1.4).
Шаг 2. Настройка наборов преобразований
Следующим шагом настройки средств поддержки IPSec в брандмауэре PIX Firewall
является использование политик защиты IPSec для определения наборов преобразо-
преобразований. Набор преобразований представляет собой комбинацию конкретных преобразо-
преобразований IPSec, реализующих политику защиты для соответствующего трафика. В рамках
процесса IKE согласование параметров ассоциаций защиты IPSec происходит в быст-
быстром режиме второй фазы IKE, когда стороны договариваются об использовании кон-
конкретного набора преобразований для защиты соответствующего потока данных. Набо-
Наборы преобразований состоят из следующих элементов IPSec:
• механизм аутентификации полезного груза — преобразование АН;
• механизм шифрования полезного груза — преобразование ESP;
• режим IPSec — транспортный или туннельный.
Набор преобразований определяется с помощью команды конфигурации crypto
ipsec transform-set. Чтобы удалить набор преобразований, используйте указанную
команду с префиксом по. Эта команда имеет следующий синтаксис:
crypto ipsec transform-set имя-набора преобразование!
[преобразование2 [преобразование3]]
612 Часть VI. Виртуальные частные сети, использующие IPSec

Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя-набора Определяет имя создаваемого (или изменяемого) набора преобразований
преобразование! Указывают до трех преобразований, определяющих протоколы защиты IPSec и соот-
преобразование2 ветствующие алгоритмы. Каждое преобразование представляет протокол защиты
преобразованиеЗ IPSec (ESP, АН или сразу оба) и алгоритм, который вы хотите использовать
Можно указать до трех преобразований. По умолчанию для всех преобразований
используется туннельный режим. Можно указать не более одного преобразования АН
и не более двух преобразований ESP. Позаботьтесь о том, чтобы для сообщающихся
сторон были указаны соответствующие наборы преобразований.
Если для создания ассоциаций защиты протокол IKE не применяется, необходим
один набор преобразований. Согласования такого набора преобразований не предпо-
предполагается. Если в наборе преобразований указан протокол ESP, можно указать только
шифрование ESP или шифрование и аутентификацию ESP.
Возможности поддержки IPSec в брандмауэре PIX Firewall показаны в табл. 17.3.
рГаблица^ТЛ. I
Преобразование Описание
ah-md5-hmac Преобразование AH-HMAC-MD5, используемое для аутентификации
ah-sha-hmac Преобразование AH-HMAC-SHA, используемое для аутентификации
esp-des Преобразование ESP, использующее шифрование DES E6 бит)
esp-3des Преобразование ESP, использующее шифрование 3DES(EDE) A68 бит)
esp-md5-hmac Преобразование ESP с аутентификацией HMAC-MD5, используемой с esp-des или
esp-3des с целью дополнительной гарантии целостности пакетов ESP
esp-sha-hmac Преобразование ESP с аутентификацией HMAC-SHA, используемой с esp-des или
esp-3des с целью дополнительной гарантии целостности пакетов ESP
Выбор преобразований
Выбор набора преобразований IPSec может оказаться достаточно сложной задачей.
Следующие рекомендации могут помочь вам в выборе преобразований, подходящих
для вашего конкретного случая.
• Если необходимо обеспечить конфиденциальность данных, включите в набор
преобразований шифрование ESP.
• Чтобы обеспечить сервис аутентификации, включите в набор преобразование
аутентификации ESP или преобразование АН.
• Чтобы обеспечить аутентификацию как для данных, так и для внешнего заго-
заголовка IP, включите в набор преобразование АН.
• Чтобы обеспечить аутентификацию данных (с помощью ESP или АН), можете
выбрать алгоритм аутентификации MD5 или SHA (варианты НМАС).
• Алгоритм SHA в общем считается более надежным, чем MD5, но работает он
медленнее.
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
613

Примеры наборов преобразований
В набор преобразований может входить одно преобразование АН и не более двух пре-
преобразований ESP. Некоторые рекомендуемые наборы показаны в примерах 17.8 и 17.9.
Пример 17.13. Шифрование Е$Р с помощью 56-битового DES ;
^ M
esp-des esp-sha-hmac
Пример 17-9. Шифрование ESP с помощью 3DES и аутентификация ESI*,
ШШмШ&г'ъ помощью SHA-1 в туннельном режиме (по умоЬчанйю)^
esp-3des esp-sha-hnac
Замечание
Как и в маршрутизаторах Cisco, АН редко используется вместе с ESP, поскольку аутенти-
аутентификация предлагается преобразованиями esp-sha-hmac и esp-md5-hmac. Протокол АН не-
несовместим также со средствами NAT (Network Address Translation — трансляция сетевых
адресов) и PAT (Port Address Translation — трансляция адресов портов), поскольку послед-
последние изменяют IP-адрес в заголовке пакета TCP/IP, нарушая данные аутентификации, соз-
созданные протоколом АН. Протокол АН можно использовать только для аутентификации
данных; он не защищает содержимое пакета, поскольку пакет не шифруется.
Согласование наборов преобразований
Наборы преобразований согласуются в быстром режиме второй фазы IKE на осно-
основе наборов преобразований, которые были определены ранее. Можно выбрать множе-
множество наборов преобразований, а затем указать один или несколько из них в записи
криптографической карты. В рамках одной политики наборы преобразований должны
размешаться от наиболее надежного к наименее надежному. Набор преобразований,
определяемый записью криптографической карты, используется при согласовании па-
параметров ассоциации защиты IPSec для защиты потока данных, указанного списком
доступа соответствующей записи криптографической карты.
В ходе согласования стороны пытаются найти набор преобразований, одинаковый для
обеих сторон, как показано на рис. 17.2. При наличии такого набора преобразований он
выбирается и применяется для защиты соответствующего потока данных ассоциаций за-
зашиты IPSec обеих сторон. Стороны IPSec договариваются об одном наборе преобразова-
преобразований для каждой ассоциации защиты (которые являются односторонними).
Шаг 3. Установка глобальных пределов
существования для ассоциаций защиты IPSec
Пределы существования ассоциаций защиты IPSec определяют, как долго ассоциации
защиты IPSec остаются действительными, т.е. когда потребуется их переустановка. Бравд-
614
Часть VI. Виртуальные частные сети, использующие IPSec

мауэр PIX Firewall поддерживает глобальное значение предела существования, примени-
применимого сразу ко всем криптографическим картам. Это глобальное значение может быть из-
изменено в соответствующей записи криптографической карты. Пределы существования
применимы только к ассоциациям защиты, создаваемым посредством IKE. Созданные
вручную ассоциации защиты не прекращают своего существования автоматически. Перед
тем как ассоциация защиты прекратит свое существование, ведутся переговоры о создании
новой, чтобы обеспечить непрерывность потока данных.
transform-set secure
esp-3des
tunnel
transform-set idsecure
esp-des, ah-sha-hmac
tunnel
transform-set vrysecure
esp-3des, ah-sha-hmac,
esp-sha-hmac
tunnel
esp-3des, туннель или esp-dek
ah-sha-hmac, туннель или esp-l
3des, ah-sha-hmac, esp-sha- I
hmac, туннель??? )
/esp-3des, ah-sha-
I hmac, esp-sha-
\hmac, туннель!
Отлично! Вижу
совпадение esp-3des,
ah-sha-hmac, esp-sha
hmac, туннель!
transform-set 3d
esp-3des
tunnel
transform-set espah
esp-des, ah-md5-hmac
tunnel
transform-set strong
esp-3des, ah-sha-hmac,
esp-sha-hmac
tunnel
PIP
PIX1 PIX 2
Рис. 17.2. Согласование набора преобразований двумя сторонами IPSec
Изменить глобальные значения пределов существования ассоциаций защиты IPSec
можно с помощью команды конфигурации crypto ipsec security-association
lifetime. Чтобы снова установить глобальное значение пределов существования (по
умолчанию), используйте эту же команду с префиксом по. Указанная команда имеет
следующий синтаксис:
crypto ipsec security-association lifetime {seconds секунды \
kilobytes килобайты)
Параметры команды описаны в следующей таблице.
Параметр команды Описание
seconds секунды
kilobytes килобайты
Указывает время (в секундах), в течение которого ассоциация защиты будет сущест-
существовать, до тога как станет недействительной. По умолчанию соответствующее зна-
значение равно 28800 секундам (8 часов)
Указывает объем данных (в килобайтах), который могут передать стороны IPSec в
рамках данной ассоциации защиты, до того как она станет недействительной. По
умолчанию используется значение, равное 4608000 Кбайт A час при 10 Мбайт/с)
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
615

Специалисты Cisco советуют использовать значения, установленные по умолчанию.
Иные значения для ассоциаций защиты IPSec можно указать с помощью криптографиче-
криптографических карт, как будет объясняться ниже в разделе "Настройка криптографических карт".
Примеры установки глобальных пределов для ассоциаций
защиты IPSec
Одним из общих принципов криптоанализа является то, что при наличии доста-
достаточного времени или достаточного объема данных, защищенных одним ключом шиф-
шифрования, противник может вычислить соответствующий ключ. По мере развития ме-
методов криптоанализа время эффективного использования ключа уменьшается. Бранд-
Брандмауэр PIX Firewall позволяет настроить параметры продолжительности существования
ключей с помощью команды crypto ipsec security-association lifetime. Рассмот-
Рассмотрим вариант установки глобального предела существования для ассоциаций защиты
IPSec, показанный в примере 17.10.
щ^-р^0 .Установка глобального предела существования для
crypto ipsec security-association lifetime kilobytes 1382400
Указанный предел существования соответствует передаче данных со скоростью около 3
Мбит/с в течение одного часа и вполне подходит для брандмауэра PIX Firewall, размещен-
размещенного за маршрутизатором периметра с WAN-интерфейсом Е1, связанным с поставщиком
услуг Internet, обеспечивающим скорость передачи 2.048 Мбит/с. В примере 17.11 указан
предел времени существования, равный 15 минутам, который, пожалуй, слишком мал, но
ограничивает и время, предоставляемое противнику для взлома ключа.
[.существования
crypto ipsec security-association lifetime seconds 900
Перед тем как ключ прекратит свое существование, протокол IKE согласует сле-
следующий на основе имеющихся значений пределов существования для ассоциаций за-
защиты IPSec, чтобы обеспечивалась непрерывность перехода от ключа к ключу без
разрыва соединения.
Шаг 4. Создание криптографических карт
Для IPSec необходимо создать соответствующие записи криптографических карт,
чтобы установить ассоциации защиты для потоков данных, подлежащих шифрованию.
Записи криптографических карт, создаваемые для IPSec, устанавливают параметры
ассоциаций защиты, связывая вместе следующие элементы IPSec:
• тип трафика, подлежащего защите средствами IPSec (список шифрованного
доступа);
• степень детализации трафика, защищаемого множеством ассоциаций защиты;
• направление, в котором должен отсылаться защищенный с помощью IPSec
трафик (параметры удаленной стороны IPSec);
• локальный адрес, используемый для трафика IPSec;
616 Часть VI. Виртуальные частные сети, использующие IPSec

• тип защиты IPSec, применяемый к данному потоку (наборы преобразований);
• метод создания ассоциаций защиты: вручную или с помощью IKE;
• пределы существования ассоциаций защиты IPSec;
• другие параметры, которые могут понадобиться при создании ассоциаций за-
защиты IPSec.
В следующих разделах будут рассмотрены параметры криптофафических карт, ко-
команда crypto map, возможности конфигурации криптофафических карт и соответст-
соответствующие примеры.
Параметры криптографических карт
К одному интерфейсу можно применить только один набор записей криптофафи-
криптофафической карты, который может включать комбинацию ассоциаций защиты IPSec, уста-
установленных как с помощью IKE, так и вручную. Несколько интерфейсов могут ис-
использовать один и тот же набор записей криптофафической карты, если к несколь-
нескольким интерфейсам применяется одна политика.
Если требуется создать более одной записи криптографической карты для одного
интерфейса, используйте для записей порядковые номера, чтобы выстроить их по
приоритету: при этом меньшие номера означают высший приоритет. В рамках ин-
интерфейса, с которым связан набор записей криптофафической карты, трафик сна-
сначала оценивается записями с высшим приоритетом. Необходимость в создании
множества записей криптографической карты для одного интерфейса возникает в
следующих ситуациях.
• Имеются потоки данных, которые должны обрабатываться разными сторона-
сторонами IPSec.
• Необходимо обеспечить разные уровни защиты IPSec различным типам трафи-
трафика (направленного одной стороне или разным сторонам IPSec) — например, ес-
если трафик между одним множеством подсетей должен быть аутентифицирован,
а трафик между другим множеством подсетей необходимо и аутентифициро-
вать, и шифровать. В этом случае разные типы трафика должны быть определе-
определены в двух отдельных списках доступа, а в криптофафической карте для каждого
из этих списков доступа должны быть созданы отдельные записи.
• Некоторые ассоциации защиты устанавливаются вручную (а не с помощью
IKE), но их необходимо связать с условиями коллективного доступа. В этом
случае следует создать отдельные списки доступа (по одному для каждого раз-
разрешения) и указать отдельную запись криптофафической карты для каждого из
этих списков доступа.
Резервные шлюзы
В криптографической карте можно указать несколько удаленных сторон, чтобы
иметь возможность использовать резервные шлюзы. Если одна из сторон не ответит,
ей найдется альтернатива. С какой из сторон при этом свяжется ваш брандмауэр PIX
Firewall, — зависит от того, какую информацию уже получил брандмауэр (данные или
сообщение запроса) для соответствующего потока данных. Если попытка оказывается
неудачной для одной стороны, процесс IKE пытается связаться со следующей, в соот-
соответствии со списком криптофафической карты.
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 617

Если параметры криптографической карты, гарантирующие совместимость с пара-
параметрами других сторон, неизвестны, используйте динамические криптографические
карты. Их удобно использовать, когда установка туннелей IPSec инициируется уда-
удаленной стороной (например, размещенным перед сервером брандмауэром PIX
Firewall, выполняющим функции IPSec). Динамические криптографические карты
неприменимы, когда установка туннелей IPSec инициируется локально, поскольку
они являются лишь шаблонами политики защиты, а не ее завершенными вариантами.
Запись динамической криптографической карты является, по существу, записью
обычной криптографической карты, в которой определены не все параметры. Она слу-
служит шаблоном политики, в котором отсутствующие параметры динамически определя-
определяются позже (в результате согласования IPSec), чтобы обеспечивалось соответствие тре-
требований сторон. Это позволяет сторонам обмениваться данными IPSec с брандмауэром
PIX Firewall даже в том случае, когда брандмауэр PIX Firewall не имеет специальной за-
записи криптографической карты, соответствующей требованиям второй стороны.
Настройка криптографических карт
Команда конфигурации crypto map используется для создания или изменения за-
записей криптографических карт. Записи криптографической карты, ссылающиеся на
динамические карты, должны быть записями с самым низким приоритетом (т.е.
должны иметь наивысшие значения порядковых номеров). Чтобы удалить запись или
набор записей криптографической карты, используйте данную команду с префиксом
по. Указанная команда имеет следующий синтаксис:
crypto map имя-карты порядк-иомер {ipsec-isakmp | ipsec-manual}
[dynamic имя-дииамич-карты]
crypto map имя-карты порядк-иомер match address имя-списка-доступа
crypto map имя-карты порядк-иомер set peer {имя-хоста \ ip-адрес}
crypto map имя-карты порядк-иомер set pfs [groupl | group2]
crypto map имя-карты порядк-иомер set security-association lifetime {seconds секунды \
kilobytes килобайты}
crypto map имя-карты порядк-иомер set transform-set имя-иабора1
[имя-иабораб]
crypto map имя-карты client authentication имя-сервера-ааа
crypto map имя-карты client configuration address {initiate | respond}
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя-карты Имя, присваиваемое набору записей криптографической карты
порядк-иомер Номер, присваиваемый записи криптографической карты
ipsec-manual Указывает, что для защиты трафика, определяемого новой записью криптографиче-
криптографической карты, при создании ассоциаций защиты IPSec не будет использоваться IKE
ipsec-isakmp Указывает, что для защиты трафика, определяемого новой записью криптографиче-
криптографической карты, при создании ассоциаций защиты IPSec будет использоваться IKE
dynamic (необязательный) Говорит о том, что запись криптографической карты ссылается на
уже существующую динамическую карту. При использовании этого ключевого слова,
команды режима конфигурации криптографической карты недоступны
618 Часть VI. Виртуальные частные сети, использующие IPSec

Параметр команды Описание
имя-динамич-карты
match address
имя-списка-доступа
set peer
(необязательный) Указывает имя набора записей динамической криптографической
карты, используемого в качестве шаблона политики защиты
Указывает список доступа для записи криптографической карты
Идентифицирует именованный список шифрованного доступа. Имя должно совпадать со
значением параметра паше соответствующего именованного списка шифрованного доступа
имя-хоста
ip-адрес
set pfs
groupl
group2
seconds секунды
Указывает сторону IPSec в записи криптографической карты. Повторяя эту команду,
можно указать несколько сторон. (Стороной является интерфейс, определающий ко-
конечную точку связи IPSec)
Идентифицирует сторону по имени хоста. Это имя стороны, связанное с именем до-
домена (например, myhost.example.com)
Идентифицирует сторону по ее IP-адресу
Указывает, что протокол IPSec должен запросить опцию PFS (Perfect Forward
Secrecy — совершенная прямая секретность). Если опция PFS активизирована, то каж-
каждый раз при согласовании новой ассоциации защиты выполняется новый обмен Диф-
фи-Хеллмана. Опция PFS обеспечивает дополнительную защиту создаваемым секрет-
секретным ключам за счет снижения производительности системы
Указывает, что в дальнейшем при обмене Диффи-Хеллмана в рамках IPSec должна исполь-
использоваться 768-битовая группа Диффи-Хеллмана. Используется с преобразованием esp-des
Указывает, что в дальнейшем при обмене Диффи-Хеллмана в рамках IPSec должна
использоваться 1024-битовая группа Диффи-Хеллмана. Используется с преобразова-
преобразованием esp-3des
Указывает время (в секундах), в течение которого ассоциация защиты будет существо-
существовать, до того как станет недействительной. По умолчанию соответствующее значение
равно 3600 секундам (одному часу)
kilobytes килобайты Указывает объем данных (в килобайтах), который могут передать стороны IPSec в рам-
рамках данной ассоциации защиты, до того как она станет недействительной. По умолча-
умолчанию используется значение, равное 4608000 Кбайт. Значение предела существования
ассоциации защиты, указанное в записи криптографической карты, заменяет соответ-
соответствующее глобальное значение
Указывает, какие наборы преобразований могут использоваться с данной записью
криптографической карты. Разместите наборы преобразований в порядке приоритета,
причем набор с наивысшим приоритетом (обеспечивающий самую надежную защиту)
следует указать первым
Указывает имя набора преобразований. Для записи ipsec-manual криптографиче-
криптографической карты можно указать только один набор преобразований. Для записи ipsec-
isaknp или динамической записи можно указать до шести наборов преобразований
имя-сервера-ааа Указывает имя сервера ААА, выполняющего аутентификацию пользователя в процессе
аутентификации IKE. Двумя допустимыми значениями этого параметра являются
TACACS+ и RADIUS
initiate Указывает, что брандмауэр PIX Firewall пытается установить IP-адрес для удаленной стороны
respond Указывает, что брандмауэр PIX Firewall должен принять запрос установки IP-адреса от
запрашивающей стороны
set transform-set
имя-набора
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
619

Вот некоторые дополнительные рекомендации, касающиеся настройки и размеще-
размещения криптографических карт:
• идентифицируйте криптографическую карту с помощью ее уникального имени
и соответствующего порядкового номера;
• используйте ipsec-isakmp для поддержки сервера сертификации;
• после ввода записей криптографической карты набор записей можно связать с ин-
интерфейсом с помощью команды crypto map имя-карты interface имя-интерфейса.
Замечание
Списки доступа для записей криптографической карты с пометкой ipsec-manual могут ис-
использовать только один оператор permit. Последующие записи будут игнорироваться. Ка-
Каждый такой оператор предназначен для поддержки одного потока данных. Чтобы обеспе-
обеспечить поддержку множества созданных вручную ассоциаций защиты для различных видов
трафика, определите несколько списков шифрованного доступа и свяжите каждый из них с
отдельной записью ipsec-manual криптографической карты. Каждый такой список должен
содержать только один оператор permit, определяющий защищаемый трафик.
В примере 17.12 показан вариант криптографической карты, в которой указаны
два адресата, чтобы обеспечить избыточность.
птографическая карта с указанием двух сторон
Pixl (config)# crypto map шушар 10 ipsec-isakmp
Pixl(config)# match address 151
Pixl(config)# set peer 192.168.2.2
Pixl(config)# set peer 192.168.3.2
Pixl(config)f set pfs groupl
Pixl(config)# set transform-set mytransform
Pixl(config)f set security-association lifetime 2700
Если с одной из сторон наладить связь не удается, используется второй адрес. Для
числа сторон, указываемых в резервных целях, ограничения не предусмотрено.
Установка ключей вручную
Ассоциации защиты IPSec можно создать вручную, без использования IKE. Спе-
Специалисты Cisco советуют использовать IKE, поскольку трудно обеспечить совпадение
для всех значений ассоциаций защиты между сторонами. Кроме того, алгоритм Диф-
фи-Хеллмана является значительно более надежным методом выбора общих секрет-
секретных ключей. Но если требуется, можно использовать команды crypto map, чтобы
вручную описать сеансовые ключи IPSec и другие параметры ассоциаций защиты для
конкретной записи криптографической карты.
Ассоциации защиты, создаваемые с помощью команды crypto map, не ограничены
во времени (в отличие от ассоциаций защиты, создаваемых с помощью IKE). Сеансо-
Сеансовые ключи сторон должны при этом совпадать. Если вы измените сеансовый ключ,
ассоциация защиты, использующая этот ключ, будет удалена и инициализирована
вновь. Подробную информацию о настройке IPSec вручную вы найдете в разделе
"Configuring Manual IPSec" главы "Configuring IPSec" руководства Configuration Guide
for the Cisco Secure FIX Firewall.
620 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 5. Применение криптографических карт
к интерфейсам
Следующим шагом настройки IPSec является применение созданной криптографиче-
криптографической карты к соответствующему интерфейсу. Примените криптографическую карту к свя-
связанному с Internet интерфейсу брандмауэра PIX Firewall с помощью команды crypto map в
режиме конфигурации. Используйте эту команду с префиксом по, чтобы удалить крипто-
криптографическую карту с интерфейса. Указанная команда имеет следующий синтаксис:
crypto map имя-карты interface ння-ннтерфейса
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя-карты Имя набора записей криптографической карты
interface Указывает интерфейс, который брандмауэр PIX Firewall будет использовать для иден-
имя-ннтерфейса тификации (представления себя удаленной стороне). Если активизирован протокол
IKE и вы используете центр сертификации, то это должен быть интерфейс с адре-
адресом, указанным в сертификате, выданном сервером СА
Туннели IPSec могут заканчиваться на любом интерфейсе брандмауэра PIX
Firewall. Но это не значит, что трафик, приходящий извне, должен заканчиваться на
внутреннем интерфейсе. На внутреннем интерфейсе должен заканчиваться трафик
внутренней сети. Трафик, приходящий извне, должен заканчиваться на внешнем ин-
интерфейсе. А интерфейс ДМЗ должен быть конечной точкой трафика ДМЗ.
Как только вы применяете криптографическую карту, в базе данных ассоциаций
защиты в памяти системы устанавливаются параметры ассоциации защиты. Соответ-
Соответствующие ассоциации защиты будут установлены, как только обнаружится трафик,
определенный списком шифрованного доступа.
С одним интерфейсом можно связать только один набор записей криптографиче-
криптографической карты. Если некоторые записи криптографической карты имеют одно и то же
имя, но разные номера, они считаются частью одного набора и применяются все к
интерфейсу. Запись криптографической карты с наименьшим порядковым номером
имеет высший приоритет и оценивается первой.
В примере 17.13 показан вариант применения криптографической карты к внеш-
внешнему интерфейсу.
м!р 17.13: Применение криптофафическрй карть! к внешнему
crypto map mymap interface outside
Шаг 6. Проверка конфигурации IPSec
Последним шагом настройки средств поддержки IPSec в брандмауэре PIX Firewall яв-
является проверка конфигурации IPSec с помощью подходящих для этого команд show.
Чтобы увидеть параметры всех размещенных списков доступа, воспользуйтесь ко-
командой show access-list. В примере 17.14 значение hitcnt=0 указывает на то, что не
было выявлено потоков данных, требующих использования этого списка доступа.
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 621

¦j .joi'jm-'
^
Pix2# show access-list
access-list 101 permit ip host 192.168.2.9 host 192.168.1.9 (hitcnt=0)
С помощью команды show crypto ipsec transform-set можно узнать об определенных
в настоящий момент наборах преобразований. Эта команда имеет следующий синтаксис:
show crypto ipsec transform-set [tag имя-набора]
Параметр команды представлен в следующей таблице.
Параметр команды Описание
tag икя-иабора (необязательный) Показывает только набор преобразований, имеющий указанное имя
Если ключевое слово tag не используется, будут показаны все множества преобра-
преобразований, размещенные в брандмауэре PIX Firewall.
В примере 17.15 показаны наборы преобразований с именами mine и vry secure.
Пример 17.15..Наборы преобразовании с именами пипе и vrysecure
Pixfirewallt show crypto ipsec transform-set
Transform set mine: { esp-des }
will negotiate = { Tunnel, },
Transform set vrysecure: { esp-3des ah-sha-hmac esp-sha-hmac }
will negotiate = { Tunnel, },
Команду show crypto ipsec security-association lifetime можно использовать
для того, чтобы выяснить глобальные значения пределов существования ассоциаций
защиты IPSec. В примере 17.16 глобальные значения этих пределов оказываются рав-
равными 2305000 Кбайт и 3600 с.
J Пример 17.16.1>1обальныё значения пределов *
щ
ассоциаций за
PixlS show crypto ipsec security-association lifetime
Security-association lifetime: 2305000 kilobytes/3600 seconds
С помощью команды show crypto map можно проверить конфигурацию крипто-
криптографической карты. Если эту команду использовать без дополнительных ключевых
слов, будут показаны все криптографические карты, размещенные в брандмауэре PIX
Firewall. Синтаксис указанной команды следующий:
show crypto map [interface интерфейс | tag имя-карты]
Параметры команды описаны в следующей таблице.
В примере 17.17 показаны варианты криптографических карт для брандмауэров
PIX 1 и PIX 2. Обратите внимание на то, как криптографическая карта связывает вме-
вместе все шесть характеризующих IPSec значений.
622 Часть VI. Виртуальные частные сети, использующие IPSec

Параметр команды Описание
interface интерфейс (необязательный) Отображает набор записей криптографической карты, приме-
применяемый к указанному интерфейсу
tag имя-карты (необязательный) Отображает набор записей криптографической карты с указан-
указанным именем
Pixl(config)! show crypto map
Crypto Map "peer2" 10 ipsec-isakmp
Peer = 192.168.2.2
access-list 101 permit ip host 192.168.1.9 host 192.168.2.9 (hitcnt=0)
Current peer: 192.168.2.2
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ pix2, }
Pix2(config)jt show crypto map
Crypto Map "peerl" 10 ipsec-isakmp
Peer = 192.168.1.2
access-list 101 permit ip host 192.168.2.9 host 192.168.1.9 (hitcnt=0)
Current peer: 192.168,1.2
Security association lifetime: 4608000 kilobytes/28800 seconds
PFS (Y/N): N
Transform sets={ pixl, }
Задача 4. Тестирование
и контроль IPSec
Завершающей задачей настройки IPSec для работы с общими ключами является
проверка того, что параметры IKE и IPSec были указаны правильно и вся система ра-
работает должным образом. Брандмауэр PIX Firewall предлагает ряд команд show, clear
и debug, которые оказываются полезными для проверки и контроля IKE и IPSec. Эти
команды и будут обсуждаться в данном разделе.
Проверка конфигурации и функционирования IKE
Чтобы проверить конфигурацию и действие IKE, можно использовать команды,
описанные в табл. 17.4.
>|, применяемые для проверки IKE
Команда Описание
show isakmp Отображает параметры политик IKE в формате, подобном формату команды write
terminal
show isakmp policy Отображает параметры созданных и принятых по умолчанию политик IKE
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 623

Проверка конфигурации и функционирования IPSec
Чтобй проверить конфигурацию и действие IPSec в брандмауэре PIX Firewall,
можно использовать команды, описанные в табл. 17.5.
Команда
еняемые для проверки IPSec
Описание
show access-list
show crypto map
show crypto ipsec transform-set
show crypto ipsec security-
association lifetime
Выводит список операторов access-list, заданных в конфигура-
конфигурации. Используется для проверки того, что списки шифрованного дос-
доступа выделяют соответствующий трафик. Указывает число пакетов,
которые соответствовали данному списку доступа
Отображает списки шифрованного доступа, связанные с крипто-
криптографической картой. Выводит параметры размещенных крипто-
криптографических карт
Выводит информацию о размещенных наборах преобразований IPSec
Выводит установленные глобальные значения пределов сущест-
существования ассоциаций защиты IPSec
Мониторинг и управление связями IKE и IPSec
Можно осуществлять мониторинг процессов установки IKE и IPSec и управлять
связями IKE и IPSec между брандмауэром PIX Firewall и другими сторонами IPSec с
помощью команд, описанных в табл. 17.6.
Команда
Описание
show isakmp sa
show crypto ipsec sa
clear crypto isakmp sa
clear crypto ipsec sa
debug crypto isakmp
debug crypto ipsec
Показывает текущее состояние ассоциаций защиты IKE
Показывает текущее состояние ассоциаций защиты IPSec. По-
Полезна для проверки того, что трафик действительно шифруется
Очищает ассоциации защиты IKE
Очищает ассоциации защиты IPSec
Показывает связи IKE между брандмауэром PIX Firewall и сторо-
сторонами IPSec
Показывает связи IPSec между брандмауэром PIX Firewall и сто-
сторонами IPSec
Команда show isakmp sa полезна для просмотра информации о всех существующих
ассоциациях защиты IKE объекта IPSec, как показано в примере 17.18.
Pixljf show isakmp sa
dst src state conn-id Blot
192.168.1.2 192.168.2.2 QM IDLE 93 0
624
Часть VI. Виртуальные частные сети, использующие IPSec

Команда clear isakmp очищает активные соединения IKE, как показано в при-
примере 17.19.
) Пример 17.19. Команда clear ?зайр,^сп6льзуеШ
Pixlj) show crypto isakmp sa
dst src state conn-id slot
192.168.1.2 192.168.2.2 QM_IDLE 93 0
Pixlf clear crypto isakmp 93
2w4d: ISADB: reaper checking SA,
Pixli show crypto isakmp sa
dst src state conn-id slot
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Задача планирования для IPSec должна включать определение типов трафика
для шифрования, хостов и сетей, которым требуется защита, и шлюзов IPSec, в
которых должны заканчиваться туннели.
• Команда isakmp policy используется для того, чтобы указать использование
общих ключей для аутентификации и определить параметры политики IKE.
• Выбор преобразований IPSec означает выбор между степенью защиты и произ-
производительностью системы.
• Преобразования IPSec группируются в наборы, а сами наборы могут быть
сгруппированы в криптографических картах, где сначала указываются наборы
преобразований, обеспечивающие наиболее сильную защиту.
• Списки шифрованного доступа действуют подобно исходящим спискам досту-
доступа, но permit в списках шифрованного доступа означает шифрование.
• Между списками шифрованного доступа соответствующих сторон должно быть
"зеркальное" соответствие.
• Криптографические карты объединяют элементы конфигурации IPSec и
применяются к интерфейсам, открывая возможность создания ассоциаций
защиты IPSec.
• Любой интерфейс брандмауэра PIX Firewall может служить конечной точкой
туннелей IPSec для трафика, поступающего на этот интерфейс.
• Команда show crypto map показывает все параметры IPSec, используемые для
установки ассоциаций защиты IPSec.
• Процедуры и команды конфигурации брандмауэров PIX Firewall и маршрутиза-
маршрутизаторов Cisco приблизительно одинаковы. Основное различие заключается в том,
что команды брандмауэра PIX Firewall не имеют подчиненных режимов.
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 625

Практическое занятие. Настройка
средств IPS ее брандмауэра PIX
Firewall для работы с общими
ключами
В ходе этого практического занятия будет выяснено, как настроить средства
поддержки IPSec в сети гипотетической компании XYZ. Прочитайте план практи-
практического занятия, рассмотрите схему топологии сети, ознакомьтесь с политикой
защиты, а затем проанализируйте предлагаемые примеры конфигурации, чтобы
увидеть, как требования политики защиты реализуются в виде команд брандмау-
брандмауэра PIX Firewall.
План практического занятия
Компания XYZ хотела бы использовать брандмауэры PIX Firewall для создания
защищенной сети VPN между узлами, связанными через Internet. Вашей задачей яв-
является настройка шлюза защиты VPN, использующего связь IPSec между двумя
брандмауэрами PIX Firewall с применением согласованных общих ключей и позво-
позволяющего доступ к Web-серверу.
Топология
На рис. 17.3 показана схема части сети компании XYZ, настройки которой будут
обсуждаться в ходе этого практического занятия. В центре внимания будут находиться
брандмауэры PIX Firewall взаимодействующих сторон.
Политика защиты сети
Политика сетевой защиты, которую намерена реализовать компания XYZ, заклю-
заключается в следующем.
• Необходимо использовать Internet, чтобы связать сеть удаленного подразделе-
подразделения с корпоративной сетью и обеспечить возможность передачи данных.
• Необходимо аутентифицировать трафик между корпоративной сетью и филиа-
филиалами, чтобы никто не мог модифицировать или фальсифицировать пакеты во
время их передачи.
• Для аутентификации необходимо использовать заранее согласованные общие
ключи IKE и алгоритм MD5.
• Целостность потока данных между корпоративной сетью и филиалами через
Internet должно обеспечивать шифрование DES с 56-битовым ключом.
• Трафик Web между внутренними серверами NT всех узлов должен шифроваться.
626 Часть VI. Виртуальные частные сети, использующие IPSec

Удаленное
подразделение
172.16.2.1
S0172.16.1.1
.2е1
Маршрутизатор
периметра
192.168.1.0/24
Web-сервер Обозре- Сервер
Internet ватель сертификации
176.16.1.20 Web 192.168.255.2
Я
Бастион-
Бастионный
хост
I.4
Бастион-
Бастионный
хост
"Грязная"
ДМЗ
е2192.168.11.0/24 защищенная
ДМЗ
Удаленный
клиент
Бастион- Бастион
ный ный
хост хост
Маршрутизатор
территориальной
сети
10.1 2.0 СеРвеР
сетевого
доступа
Клиент Сервер
Удаленный доступ
— ИС
NT1: Сервер CiscoSecure ACS,
Web, FTRTFTRsyslog
Сервер
SMTP
Сервер
DNS
Рис. 17.3. Компании XYZ требуется создать конфигурацию шлюза защиты VPN между
брандмауэрами PIX Firewall
Пример конфигурации для брандмауэра PIX 1
Рассмотрим вариант конфигурации брандмауэра PIX 1 в сети компании XYZ, по-
показанный в примере 17.20. В этом примере реализуются описанные выше требования
политики защиты для IPSec. Здесь показана одна из возможных конфигураций, реа-
реализующих данную политику. Можно настроить брандмауэр иначе, обеспечив выпол-
выполнение тех же требований. Обратите внимание на комментарии, объясняющие связь
команд конфигурации с конкретными требованиями политики защиты. В данном
примере показана конфигурация для брандмауэров PIX 515. Команды, связанные с
неиспользуемыми интерфейсами, и другие не относящиеся к рассматриваемому во-
вопросу команды были из листинга удалены.
20. Вариант конфигурации для
! Настройка IP-адресов для всех интерфейсов брандмауэра PIX Firewall.
ip address outside 192.168.1.1 255.255.255.0
Глава 17. Настройка IPSec в брандмауэре PIX Firewall
627

ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
.' Создание глобального пула на внешнем интерфейсе, активизация ШТ.
nat (inside) I 10.0.0.0 255.0.0.0 0 0
/ Создание статической трансляции между глобальным и внутренним адресами
! сервера Windows NT.
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.255 0 0
/ Список шифрованного доступа указывает, что трафик между внутренними серверами
! Windows NT за брандмауэрами PIX должен шифроваться.
! IP-адреса источника и получателя являются глобальными IP-адресами статик.
! Списки доступа брандмауэров демонстрируют зеркальное соответствие.
access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
/ Каналы позволяют доступ 1СМР и Web с целью тестирования.
conduit permit imp any any
conduit permit top host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
/ Разрешение IPSec обойти список доступа и другие ограничения.
sysopt connection permit-ipsec
/ Определяет использование esp-des в иаборе преобразований криптографической карты.
crypto ipsec transform-set pix2 esp-des
crypto nap peer2 10 ipsec-isakmp
/ Определяет криптографическую карту.
crypto map peer2 10 match address 101
.' Определяет удаленную сторону в криптографической карте путем указания IP-адреса
I внешнего интерфейса удаленного брандмауэра PIX.
crypto map peer2 10 set peer 192.168.2.1
/ Определяет использование данного набора преобразований в криптографической карте.
crypto map peer2 10 set transform-set pix2
/ Связывает криптографическую карту с внешним интерфейсом брандмауэра PIX.
I Как только криптографическая карта связывается с интерфейсом,
! политики IKE и IPSec становятся активными.
crypto map peer2 interface outside
/ Активизирует IKE на внешнем интерфейсе.
isakmp enable outside
/ Определяет общий ключ IKE.
isakmp key ciscol23 address 192.168.2.1 netmask 255.255.255.255
/ Определяет политику IKE, использующую общие ключи для аутентификации.
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
/ Определяет использование группы 1 Диффи-Хеллмана. Можно было бы использовать группу 2,
I обеспечивающую более сильную защиту вместе с преобразованием esp-3des,
I но для этого потребуется больше процессорного времени.
isakmp policy 10 group 1
/ Определяет параметры длительности существования IKE.
isakmp policy 10 lifetime 86400
628 Часть VI. Виртуальные частные сети, использующие IPSec

Пример конфигурации для брандмауэра PIX 2
В примере 17.21 показан вариант конфигурации для брандмауэра PIX 2.
Пример 17.21. Вариант конфигурации для брандмауэра PIX 2
.' Настройка IP-адресов для всех интерфейсов брандмауэра PIX Firewall.
ip address outside 192.168.2,1 255.255.255.0
ip address inside 10.2.1.3 255.255.255.0
ip address dmz 192.168.12.1 255.255.255.0
global (outside) 1 192.168.2.10-192.168.2.254 netmask 255.255.255.0
.' Создание глобального пула на внешнем интерфейсе, активизация ЛИГ.
nat (inside) I 10.0.0.0 255.0.0.0 0 0
/ Создание статической трансляции между глобальным и внутренним адресами
! сервера Windows ST.
static (inside,outside) 192.168.2.10 10.2.1.4 netmask 255.255.255.255 0 0
.' Список шифрованного доступа указывает, что трафик между внутренними серверами
! Windows Ш за брандмауэрами PIX должен шифроваться. IP-адреса источника н получателя
! являются глобальными IP-адресами статик. Списки доступа
1 брандмауэров PIX 1 и PIX 2 являются зеркальными отражениями друг друга.
access-list 101 permit ip host 192.168.2.10 host 192.168.1.10
/ Каналы позволяют доступ ICMP н Web с целью тестирования.
conduit permit icmp any any
conduit permit top host 192.168.2.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.2.2 1
.' Разрешение iPSec обойти список доступа и другие ограничения.
sysopt connection permit-ipsec
/ Определяет использование esp-des в наборе преобразований криптографической карты.
crypto ipsec transform-set pixl esp-des
crypto map peerl 10 ipsec-isakmp
/ Определяет криптографическую карту.
crypto map peerl 10 match address 101
/ Определяет удаленную сторону в криптографической карте путем указания IP-адреса
! внешнего интерфейса удаленного брандмауэра PIX.
crypto map peerl 10 set peer 192.168.1.1
/ Определяет использование данного набора преобразований в криптографической карте.
crypto map peerl 10 set transform-set pixl
.' Связывает криптографическую карту с внешним интерфейсом брандмауэра PIX.
! Как только криптографическая карта связывается с интерфейсом,
! политики IKE и IPSec становятся активными.
crypto map peerl interface outside
.' Активизирует IKE на внешнем интерфейсе.
isakmp enable outside
/ Определяет общий ключ IKE.
isakmp key ciscol23 address 192.168.2.2 netmask 255.255.255.255
.' Определяет политику IKE, использующую общие ключи для аутентификации.
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 629

isakmp policy 10 hash sha
.' Определяет использование группы 1 Диффи-Хеллмаиа. Можно было бвг использовать группу 2,
! обеспечивающую более сильную защиту вместе с преобразованием espSdes,
! но для этого потребуется больше процессорного времени.
isakmp policy 10 group 1
.' Определяет параметры длительности существования IKE.
isakmp policy 10 lifetime 86400
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Укажите преимущества и недостатки использования согласованных общих клю-
ключей для аутентификации.
2. Какая команда используется для ввода общих ключей?
3. Как можно увидеть параметры политик IKE в конфигурации брандмауэра PIX?
4. Как активизировать IKE для одного интерфейса, но не для другого?
5. Сколько преобразований может быть определено в одном наборе?
6. Как задать пределы существования ассоциации защиты IPSec в брандмауэре PIX
Firewall?
7. Какая команда используется для определения трафика, подлежащего защите?
8. Когда инициализируются ассоциации защиты IPSec при использовании IKE?
9. Как можно увидеть информацию о событиях IKE, происходящих при обмене ме-
между сторонами IPSec?
10. Почему IKE не удается успешно завершить согласование общих ключей для сле-
следующих примеров конфигурации (рис. 17.22 и 17.23)?
crypto isakmp policy 100
authentication rsa-sig
group 2
lifetime 5000
crypto isakmp policy 200
hash md5
authentication pre-share
crypto isakmp policy 300
authentication rsa-encr
lifetime 10000
630 Часть VI. Виртуальные частные сети, использующие IPSec

17.23. PIX2
crypto isakmp policy 100
authentication rsa-sig
group 1
lifetime 5000
crypto isakmp policy 200
authentication rsa-sig
lifetime 10000
crypto isakmp policy 300
hash sha
authentication pre-share
Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Чтобы выяснить подробности, касающиеся настройки средств IPSec в брандмауэре
PIX Firewall, обратитесь к руководству Configuration Guide for the Cisco Secure PIX Fire-
Firewall, PIX Firewall Release 5.1. Наиболее информативными являются следующие главы
этого руководства.
• Configuring IPSec. Предлагает обзор возможностей настройки IPSec и описания
соответствующих процедур настройки.
• Command Reference. Содержит подробные описания команд брандмауэра PIX
Firewall.
• Configuration Examples. Предлагает примеры конфигурации IPSec для брандмау-
брандмауэра PIX Firewall.
Глава 17. Настройка IPSec в брандмауэре PIX Firewall 631

Изучив материал данной^
• Описать задачи и^йЛ|р5^ выполняемые в,
центра сертификации в маршрутизаторах Cisco и брандмауэра* PIX FirewaU.
Настроить^(Ср<^ютва поддержки центра Сертификации в шршрутизаторах Cisco
- ' <%?-*:- PIX Fireball. Ш -"М
^^едств поддержки центра серти-
риптографичёйкие карты в ^р&руЪйцторах Cisco и
встроить параметры режима IPSec в марщр^гйзаторах Cisco и брандмауэрах
;'F "* "
'Ш и isE. расширенные^озможностз^^утентифиошции IPSec^b брандмауэр
равильность функциони]
зместида динамичес
ндмаррах РГ" ""
ния конечных точек тунйейей в маршрутиза-1
астроитв^средства распоз
торе Cisc

Глава
18
Масштабирование сетей IPSec
ТВ этой главе объясняется, как настроить сети IPSec, состоящие из маршрутизато-
маршрутизаторов Cisco и брандмауэров PIX Firewall, чтобы они обладали хорошими возможностями
масштабирования и могли поддерживать большое число взаимодействующих сторон
IPSec, обесцдивая при этом надежную и управляемую защиту. Глава начинается с
как настроить средства поддержки центра сертификации (сервера
Лечить возможность использования цифровых подписей RSA для ау-
этой же главе объясняется, как настроить маршрутизатор Cisco
^Firewall для поддержки удаленного доступа с помощью клиента
|а заканчивается обсуждением того, как настроить средства рас-
чек туннелей.
центров сертификации
заторах и брандмауэрах
ется, как настроить средства поддержки центров сертифи-
Cisco и брандмауэрах PIX Firewall. В целом процедуры на-
стройств примерно одинаковы, имеются лишь небольшие
интаксисе.
;ия не зависят от выбираемого метода аутентификации. В
саны процедуры, которые были представлены в других гла-
рассматриваются действия, требующиеся только для под-
ации или имеющие какие-то особенности,
вера СА (Certificate Authority — центр сертификации) вы най-
(уктура открытых ключей и поддержка центров сертифика-
>жка IPSec в сетях Cisco".
?ах процесса настройки конфигурации IPSec для поддержки цен-
щаются следующие задачи.
вка к использованию IPSec. Определение деталей политики
выбор метода аутентификации, выяснение параметров сервера
фикация хостов и сетей, которые необходимо защитить, определе-
кгеристик сторон IPSec, возможностей IPSec, которые будут необходи-
также проверка того, что существующие списки доступа, применяемые
|ильтрования пакетов, позволяют использовать IPSec.
этом разд
и в мар
ки каждого
ма
е задачи
й главе вкр
иги, и бол
центро
исани
грш 15, "П
различных
сертифи
Задача
ши

• Задача 2. Настройка средств поддержки центров сертификации. Установка значе-
значений имен устройств Cisco и соответствующих доменов, генерирование ключей,
описание сервера СА, аутентификация и запрос собственных сертификатов.
• Задача 3. Настройка IKE для IPSec. Активизация средств IKE, создание политики
IKE и проверка правильности выбранной конфигурации. После этого IKE может
установить ассоциации защиты IPSec, позволяющие открыть сеансы IPSec.
• Задача 4. Настройка IPSec. Определение наборов преобразований, создание списков
шифрованного доступа и криптографических карт, а также применение криптогра-
криптографических карт к соответствующим интерфейсам. Выполняемые при этом действия
аналогичны действиям, описанным в предыдущих главах (за исключением выби-
выбираемого метода аутентификации), и поэтому не обсуждаются в данной главе.
• Задача 5. Проверка конфигурации VPN. Использование show, debug и других
аналогичных команд для проверки правильности шифрования IPSec и решения
возможных проблем.
В следующих разделах каждая из этих задач конфигурации будет обсуждаться под-
подробно.
Задача 1. Подготовка к использованию IPSec
Для успешного масштабирования сети VPN на основе IPSec требуется тщательно
спланировать процесс настройки конкретных маршрутизаторов Cisco, брандмауэров
PIX Firewall и других объектов IPSec. Настройка параметров шифрования IPSec может
оказаться достаточно сложным делом. Необходимо начать с определения деталей по-
политики защиты IPSec, основываясь на общей политике защиты компании. Такое пла-
планирование предполагает выполнение следующих шагов.
Шаг 1. Определение политики IKE (первая фаза IKE, основной режим). Определение
политик IKE для сторон IPSec в зависимости от числа и размещения сторон.
Шаг 2. Планирование поддержки центров сертификации. Определение параметров сервера
СА (сервер сертификации). Это означает, в частности, выяснение типа используе-
используемого сервера СА, его IP-адреса и возможностей контакта с администратором.
Шаг 3. Определение политики IPSec (вторая фаза IKE, быстрый режим). Выяснение таких
параметров сторон IPSec, как IP-адреса и допустимые режимы IPSec. Настройка
криптографических карт, объединяющих все элементы политики IPSec.
Шаг 4. Проверка текущей конфигурации. Использование подходящих команд конфигу-
конфигурации маршрутизатора Cisco или брандмауэра PIX Firewall (например, команд
write terminal, show isalonp [policy] и show crypto map) для выяснения теку-
текущей конфигурации.
Шаг 5. Проверка работы сети без шифрования. Проверка того, что сеть работает без
шифрования, чтобы избежать основных проблем маршрутизации. Для провер-
проверки сетевой связности при использовании необходимых сервисов IP можно
воспользоваться командой ping.
Шаг 6. Проверка совместимости списков доступа с IPSec. Проверка того, что маршру-
маршрутизаторы периметра и устройства IPSec позволяют движение трафика IPSec.
На этом шаге необходимо воспользоваться командой show access-lists.
634 Часть VI. Виртуальные частные сети, использующие IPSec

Параметры политики IKE должны быть выяснены для каждой из сторон до начала
настройки IKE. На рис. 18.1 показана упрощенная топология сети компании XYZ,
используемая в примерах данной главы.
Сайт1
Сайт 2
10.1.1.3
192.168.1.2
sO
172.16.1.1
sO
172.16.2.1
Центр
сертификации
192.168.255.2
еО 10.2.1.3
192.168.2.2
Рис. 18.1. Топология сети компании XYZ, используемая в примерах
В табл. 18.1 представлены детали политики IKE, которые будут размещены в при-
примерах этой главы.
Щ #ри(иер политики; I
&рш{^да0ра;СГ8со тф>\ ^М
Шабпш
Параметр
Значение для стороны А Значение для стороны В
Алгоритм шифрования сообщений
Алгоритм гарантии целостности (алгоритм
хэширования) сообщений
Метод аутентификации сторон
Параметры обмена ключами (идентификатор
группы Диффи-Хеллмана)
Предел времени существования ассоциаций
защиты, установленных с помощью IKE
IP-адрес маршрутизатора Cisco удаленной
стороны
IP-адрес брандмауэра PIX Firewall удален-
удаленной стороны
DES
MD5
Подписи RSA
Группа 1 G68-битовая группа
Диффи-Хеллмана)
86400 (значение
по умолчанию)
192.168.2.2
172.16.2.1
DES
MD5
Подписи RSA
Группа 1 G68-битовая груп-
группа Диффи-Хеллмана)
86400 (значение
по умолчанию)
192.168.1.2
172.16.1.1
Шаг 2. Планирование поддержки центров сертификации
Это уникальный шаг рассматриваемого процесса. Лучше всего подготовить данные
для настройки заранее, чтобы сразу внести их в конфигурацию, когда это потребуется.
Основные задачи такого планирования заключаются в следующем.
• Определение типа сервера СА, который придется использовать. Серверы СА мо-
могут иметь самые разные конфигурации и возможности. До начала действий, свя-
связанных непосредственно с настройкой вашей сети, необходимо определить, какой
из них лучше всего подходит для ваших целей. Необходимо выяснить, в частно-
частности (но не только), тип требуемого ключа RSA, возможности CRL (Certificate
Глава 18. Масштабирование сетей IPSec
635

Revocation Lists — списки отзыва сертификатов) и поддержки режима RA
(Registration Authority — центр регистрации).
• Выяснение IР-адреса, имя хоста и URL для сервера СА.
• Выяснение контактной информации для связи с администратором сервера СА.
Если процесс настройки не является полностью автоматическим, необходимо
проверить подлинность размещаемых сертификатов.
В табл. 18.2 показан набор параметров сервера СА, которые будут использоваться в
примерах данной главы.
р параметров сервера СА^:';;l:v. ., ,..,,...,
"Щ -V '¦%.'¦¦
Параметр Значение для сервера СА
Тип сервера СА Entrust
Имя хоста entrust-ca
IP-адрес 192.168.255.2
URL www.entrust-ca.com
Возможности контакта с администратором 1-800-555-1212
Замечание
Шаги 3-6 задачи 1 идентичны тем шагам, которые выполнялись при настройке общих
ключей. Подробное описание этих шагов предлагалось в разделах "Задача 1. Подго-
Подготовка к использованию IPSec" глав 16 и 17.
Задача 2. Настройка средств поддержки центров
сертификации
Теперь необходимо ввести специальные команды, активизирующие поддержку
центров сертификации, используя параметры, определенные на стадии планирования.
В этом разделе будут описаны действия, которые необходимо выполнить в процессе
настройки средств поддержки центров сертификации, причем сначала будет предло-
предложен план соответствующих действий, а затем детали его реализации для маршрутиза-
маршрутизаторов Cisco и брандмауэра PIX Firewall. Процесс настройки средств поддержки серти-
сертификации в маршрутизаторах Cisco и брандмауэре PIX Firewall состоит из перечислен-
перечисленных ниже шагов. Эти шаги будут описаны подробнее в последующих разделах.
Перед тем как приступить непосредственно к процессу настройки средств сертифика-
сертификации, убедитесь в том, что таймер маршрутизатора Cisco или брандмауэра PIX Firewall уста-
установлен на текущие время, день, месяц и год. В противном случае центр сертификации
может отвергнуть или, наоборот, принять сертификаты с неправильным штампом време-
времени. Протокол PKI Cisco использует показания таймера для того, чтобы убедиться в дейст-
действительности списков отозванных сертификатов (списков CRL). Показания календаря и ча-
часов маршрутизатора Cisco можно установить с помощью команды глобальной конфигура-
конфигурации clock timezone и команды clock set привилегированного режима EXEC. Можно
также (в качестве опции) заставить маршрутизатор Cisco использовать для установки вре-
времени сервер NTP (Network Time Protocol — синхронизирующий сетевой протокол). Ка-
Календарь и часы брандмауэра PIX Firewall устанавливаются с помощью команды clock set.
636 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 1. Управление использованием NVRAM (необязательный шаг). Сертификаты и
списки CRL могут занимать значительную часть памяти NVRAM (Non-Volatile
Random Access Memory — энергонезависимое ОЗУ) в маршрутизаторах Cisco и
флэш-памяти в брандмауэрах PIX Firewall. Поэтому может понадобиться
управление использованием этой памяти.
Шаг 2. Установка имен хоста и домена для маршрутизатора Cisco или брандмауэра PIX
Firewall. Имена устройства и соответствующего домена используются для
идентификации IKE, генерирования ключей RSA, а также в сертификатах, по-
поэтому эти имена должны быть точно указаны.
Шаг 3. Генерирование пары ключей RSA. Ключи RSA используются для аутентифика-
аутентификации удаленной стороны IPSec.
Шаг 4. Объявление центра сертификации. Чтобы описать центр сертификации, кото-
который должно использовать ваше внешнее устройство Cisco, воспользуйтесь ко-
командой глобальной конфигурации crypto ca identity. Используйте эту ко-
команду с префиксом по, чтобы удалить всю информацию о идентификации и
сертификатах, связанных с данным центром сертификации.
Шаг 5. Аутентификация центра сертификации. Устройство Cisco должно аутентифицировать
центр сертификации посредством получения сертификата, содержащего открытый
ключ центра сертификации и подписанного самим центром сертификации.
Шаг 6. Запрос собственного сертификата. В результате выполнения этого шага вы по-
получите от центра сертификации сертификат своего маршрутизатора.
Шаг 7. Сохранение конфигурации. По завершении настройки параметров устройства
Cisco для поддержки центров сертификации, необходимо сохранить его кон-
конфигурацию.
Шаг 8. Проверка конфигурации поддержки центров сертификации. С помощью соответ-
соответствующих команд можно проверить параметры ваших сертификатов и серти-
сертификатов других сторон.
Шаг 9. Мониторинг и поддержка возможностей взаимодействия центров сертификации
(необязательный шаг). Необходимость в этом шаге зависит только от ваших
запросов.
Шаг1. Управление использованием памяти
Сертификаты, ключи RSA и списки CRL могут использовать значительную часть памя-
памяти NVRAM в маршрутизаторах Cisco и флэш-памяти в брандмауэрах PIX Firewall.
В некоторых случаях локальное хранение сертификатов и списков CRL не пред-
представляет проблем. Но в других случаях памяти может не хватать, особенно если ваш
центр сертификации поддерживает возможности центра регистрации и большое число
списков CRL, которые предполагается сохранять в вашем маршрутизаторе Cisco или
брандмауэре PIX Firewall.
Чтобы сэкономить память, можно потребовать, чтобы сертификаты и списки CRL
не сохранялись локально, а запрашивались у центра сертификации или сервера LDAP
(Lightweght Directory Access Protocol — облегченный протокол службы каталогов).
Сертификаты и списки CRL используются каждый раз при установке или обновлении
ассоциаций защиты. Это позволит освободить память, но одновременно снизит про-
производительность системы.
Глава 18. Масштабирование сетей IPSec 637

Чтобы указать, что сертификаты и списки CRL не должны храниться локально в вашем
маршрутизаторе Cisco, а должны запрашиваться с сервера СА или LDAP, включите режим
запросов с помощью команды глобальной конфигурации crypto ca certificate query.
Шаг 2. Установка имен хоста и домена
Для поддержки центров сертификации нужно указать имена хоста и домена маршру-
маршрутизатора Cisco или брандмауэра PIX Firewall, если это еще не было сделано. Это необхо-
необходимо, потому что устройство Cisco присваивает имя FQDN (Fully Qualified Domain
Name — полностью определенное доменное имя) ключам и сертификатам, используе-
используемым средствами IPSec, а имя FQDN состоит из имени хоста и соответствующего имени
IP-домена. Например, имя сертификата pixl.xyz.com состоит из имени хоста pixl, при-
присвоенного брандмауэру PIX, и имени 1Р-домена xyz.com брандмауэра PIX. Чтобы ука-
указать имена хоста и IP-домена для маршрутизаторов Cisco и брандмауэров PIX Firewall,
используются команды, которые обсуждаются в следующих разделах.
В качестве опции можно определить статическое отображение имени хоста в адрес
в кэше имен хостов на случай, если сервер DNS будет недоступен или не сможет об-
обработать имя хоста удаленной стороны. Имена, которые вы определяете, формируют
нечто наподобие таблицы хостов, хранящейся локально в маршрутизаторе Cisco или
брандмауэре PIX Firewall.
Установка имен хоста и домена маршрутизатора Cisco
Чтобы описать или изменить имя хоста для маршрутизатора Cisco, можно использовать
команду глобальной конфигурации hostname. Эта команда имеет следующий синтаксис:
hostname имя
Параметр команды представлен в следующей таблице.
Параметр команды Описание
имя Указывает новое имя хоста для маршрутизатора Cisco
Можно определить имя домена, используемое по умолчанию, т.е. имя, которое
программное обеспечение Cisco IOS будет использовать для автоматического завер-
завершения неполных имен (имен, указанных без имени домена). Для этого следует вос-
воспользоваться командой глобальной конфигурации ip domain-name. Чтобы отменить
использование имени домена по умолчанию, используйте эту команду с префиксом
по. Указанная команда имеет следующий синтаксис:
ip domain-name имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Указывает имя домена, используемое по умолчанию для автоматического заверше-
завершения неполных имен (состоящих только из имени хоста). Не включайте в соответст-
соответствующую строку начальную точку, отделяющую имя хоста от имени домена
Можно также использовать команду глобальной конфигурации ip host, чтобы оп-
определить статическое отображение имени хоста в адрес в кэше имен хостов, если сер-
сервер DNS не сможет обработать имя хоста удаленной стороны. Чтобы удалить такое
638 Часть VI. Виртуальные частные сети, использующие IPSec

статическое отображение, используйте эту команду с префиксом по. Указанная ко-
команда имеет следующий синтаксис:
ip host имя адрес! [адрес2...адрес8]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
имя Описывает имя хоста. Первый символ может быть буквой или цифрой. Если использу-
используется цифра, то имеются ограничения на операции, которые можно выполнять
адрес1 Указывает связанный с хостом IP-адрес
адрес2... адресв (необязательный) Указывает дополнительный связанный с хостом IP-адрес. С одним
именем хоста можно связать до восьми адресов
Вариант конфигурации, показанный в примере 18.1, включает команды этого раздела,
которые может использовать компания XYZ для настройки своих сетевых устройств.
хоста и домена для марш
Router(config)l hostname routerA
routerA(config)# ip domain-паше xyz.com
routerA(config)! ip host xyzcaserver 192.168.255.2
Установка имен хоста и домена для брандмауэра PIX Firewall
Чтобы описать или изменить имя хоста для брандмауэра PIX Firewall, можно ис-
использовать команду глобальной конфигурации hostname. Эта команда имеет следую-
следующий синтаксис:
hostname имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Указывает новое имя хоста для строки запроса брандмауэра PIX Firewall. Имя может со-
содержать до 16 буквенно-цифровых символов как верхнего, так и нижнего регистров
Чтобы изменить имя домена IPSec, можно использовать команду domain-name.
Указанная команда имеет следующий синтаксис:
domain-name имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Задает имя IP-домена брандмауэра PIX Firewall
Чтобы идентифицировать хост по его текстовому имени, можно использовать ко-
команду паше. Имена, которые вы определяете, формируют нечто наподобие таблицы
хостов, хранящейся локально в брандмауэре PIX Firewall. Указанная команда имеет
следующий синтаксис:
паше ip-адрес имя
Глава 18. Масштабирование сетей IPSec 639

Параметры команды описаны в следующей таблице.
Параметр команды Описание
ip-адрес Указывает IP-адрес хоста, которому присваивается имя
имя Описывает имя, присваиваемое IP-адресу. Допустимыми символами являются a-z,
A-Z, 0-9 и символ подчеркивания. Имя не может начинаться с цифры. Если имя со-
содержит более 16 символов, команда name генерирует сообщение об ошибке
Вариант конфигурации, показанный в примере 18.2, включает команды этого раздела,
которые может использовать компания XYZ для настройки своих сетевых устройств.
l
Пример 18.2. Установка .имей хоста и домена для брандмауэра PIX Firewall
Pixfirewall(config)! hostname PIX1
PIXl(config)f domain-name xyz.com
PIXl(config)f name xyzcaserver 192.168.255.2
ШагЗ. Генерирование ключей RSA
Чтобы реализовать поддержку центров сертификации, нужно сгенерировать пары
ключей RSA в маршрутизаторах Cisco и брандмауэрах PIX Firewall. Пары ключей RSA
используются для подписи и шифрования сообщений управления ключами IKE, и их
необходимо сгенерировать до того, как вы запросите сертификат для вашего маршру-
маршрутизатора Cisco или брандмауэра PIX Firewall.
По умолчанию пары ключей RSA не создаются. Если же маршрутизатор Cisco или
брандмауэр PIX Firewall уже имеет ключи RSA, то при вводе команды, с помощью ко-
которой генерируются ключи, вы получите предупреждение и запрос о замене сущест-
существующих ключей на новые.
Ключи RSA генерируются парами — один открытый и один личный. Открытый
ключ RSA посылается серверу СА в процессе регистрации. Личный ключ сохраняется
в памяти NVRAM (маршрутизатор Cisco) или флэш-памяти (брандмауэр PIX Firewall).
Перед тем как ввести команду, генерирующую пару ключей RSA, убедитесь в том, что
маршрутизатору Cisco или брандмауэру PIX Firewall назначены имена хоста и 1Р-домена.
Без имен хоста и домена вы не сможете создать пару ключей. Команда, используемая для
создания ключей RSA, не сохраняется в конфигурации маршрутизатора Cisco или бранд-
брандмауэра PIX Firewall. Но сами ключи, генерируемые этой командой, сохраняются в секрет-
секретной части памяти NVRAM маршрутизатора Cisco или в файле перманентных данных в
флэш-памяти брандмауэра PIX Firewall (содержимое которого никогда не открывается
пользователю и который нельзя скопировать в другое устройство).
Существует два типа пар ключей RSA пары ключей специального назначения и пары
универсальных ключей. При генерировании пары ключей RSA можно указать, какого типа
ключи должны быть сгенерированы. Более подробная информация о типах ключей RSA
предлагается в разделе "Шаг 3. Генерирование ключей RSA" главы 16. Обратите внимание
на то, что сервер сертификации Entrust требует генерирования пар ключей подписи и
шифрования, хотя ключи шифрования для поддержки СА не используются.
Создание пары ключей RSA маршрутизатора Cisco
Для создания пары ключей RSA используется команда глобальной конфигурации
crypto key generate rsa. Указанная команда имеет следующий синтаксис:
640 Часть VI. Виртуальные частные сети, использующие IPSec

crypto key generate rsa [usage-keys]
Параметр команды описан в следующей таблице.
Параметр команды Описание
usage-keys (необязательный) Говорит о том, что должны быть созданы две пары ключей RSA специ-
специального назначения (т.е. одна пара ключей шифрования и одна пара ключей подписи). Ес-
Если это ключевое слово не указано, генерируется одна пара универсальных ключей
При вводе команды crypto key generate rsa система предлагает ввести длину мо-
модуля от 512 до 2048 байт. Чем больше длина модуля, тем больше времени потребуется
для создания ключей, но в этом случае созданные ключи будут иметь более высокую
степень защиты.
Подробная информация о вопросах использования команды crypto key generate
rsa содержится в разделе "Шаг 3. Генерирование ключей RSA" главы 16.
Создание пары ключей RSA брандмауэра PIX Firewall
Для создания пары ключей RSA используется команда конфигурации са generate
rsa. Указанная команда имеет следующий синтаксис:
са generate rsa {key | specialkey} длииа_модуля
Параметры команды описаны в следующей таблице.
Параметр команды Описание
key Указывает, что необходимо создать одна пару универсальных ключей RSA
specialkey Указывает, что необходимо создать две пары ключей RSA специального назначения, а
не одну пару универсальных ключей
длина_иодуля Определяет длину модуля ключа от 512 до 2048 бит. При выборе значения больше
1024 бит процесс генерирования ключа может занимать несколько минут
В примере 18.3 представлен вариант команды, генерирующей универсальные клю-
ключи RSA.
Pixfirewall(config)f ca generate rsa key 512
Шаг 4. Объявление центра сертификации
Следующим шагом настройки средств поддержки центров сертификации явля-
является объявление сервера СА, заключающееся в выборе имени сервера СА и указа-
указании параметров, используемых для связи с этим сервером. После ввода команд
объявления сервера СА маршрутизатор Cisco или брандмауэр PIX Firewall запро-
запросит открытый ключ RSA сервера сертификации и зарегистрируется в сервере СА,
используя протокол SCEP (Simplified Certification Enrollment Protocol — упрощен-
упрощенный протокол регистрации сертификатов). Команды и процедуры настройки
маршрутизатора Cisco и брандмауэра PIX Firewall немного отличаются. Каждый
поставщик серверов СА, поддерживающих продукты системы Cisco, требует ука-
указания разных параметров.
Глава 18. Масштабирование сетей IPSec 641

Объявление сервера СА в маршрутизаторе Cisco
Для объявления сервера СА в маршрутизаторе Cisco используется команда гло-
глобальной конфигурации crypto ca identity. Команда присваивает имя серверу СА и
открывает режим идентификации СА (режим ca-identity), в котором можно ввести
параметры, необходимые для настройки связи с соответствующим сервером СА. Ис-
Используйте эту команду с префиксом по, чтобы удалить информацию об идентифика-
идентификации и сертификаты, связываемые с данным сервером СА. Указанная команда имеет
следующий синтаксис:
crypto ca identity имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Создает имя для сервера СА. (Если сервер СА уже описан и вы хотели бы только из-
изменить его характеристики, укажите имя, которое вы уже определили ранее.) Сервер
СА может требовать конкретное имя (например, имя домена). Имя имеет только ло-
локальное значение. Оно не должно совпадать с именем, определенным в устройстве
любой другой стороны VPN. На это имя ссылаются другие команды СА
После ввода команды crypto ca identity открывается режим ca-identity, в кото-
котором можно задать характеристики сервера СА с помощью следующих команд.
Команда Описание
enrollment url Указывает URL сервера СА. Данная команда используется всегда
enrollment mode га Указывает режим RA. Необходима только тогда, когда система СА обеспечи-
обеспечивает возможности RA (центр регистрации). Режим RA требуется, в частно-
частности, сервером Entrust
query url Указывает URL сервера LDAP. Необходима только тогда, когда система СА
обеспечивает возможности RA и поддержку протокола LDAP
enrollnent retry-period (необязательный) Указывает, сколько времени маршрутизатор должен
ждать, до того как послать повторный запрос сертификата
enrollment retry-count (необязательный) Указывает, сколько запросов сертификата должен послать
маршрутизатор, до того как отказаться от дальнейших попыток
crl optional (необязательный) Говорит о том, что маршрутизатор может принимать сер-
сертификаты других сторон, если список CRL недоступен
В примере 18.4 показан вариант использования команды crypto ca identity и пе-
перехода в режим идентификации СА, а также представлен список команд, доступных в
этом режиме.
Router(config)if crypto ca identity mycaserver
Router(ca-identity)i ?
CA identity configuration commands:
crl CRIi option
642 Часть VI. Виртуальные частные сети, использующие IPSec

default Set a command to its defaults
enrollment Enrollment parameters
exit Exit from certificate authority identity entry mode
no Negate a command or set its defaults
query Query parameters
router(ca-identity)lenrollment ?
http-proxy HTTP proxy server for enrollment
mode ra Mode supported by the Certificate Authority
retry Polling parameters
url CA server enrollment URL\
В примере 18.5 объявляется сервер СА и указываются его характеристики. Для сервера
СА, размещенного по адресу http://my_ca server, определяется имя mycaserver. В этом
примере также указано использование сервером СА возможностей регистрации (RA).
Сценарии СА сохраняются там, где принято по умолчанию, а сервер СА использует
протокол SCEP вместо LDAP. Это минимально возможная конфигурация, требуемая
для описания сервера СА, использующего RA; это пример объявления сервера Entrust.
Сервер сертификации Entrust требует, чтобы стороны IPSec работали с сервером RA
(Registration Authority — центр регистрации), который затем передает получаемые запро-
запросы непосредственно серверу СА.
router (config)# crypto ca identity mycaserver
router(ca-identity)# enrollment url http://my_ca_server
router(ca-identity)# enrollment mode ra
router(ca-identity)# exit
Вариант применения команд, связанных с объявлением сервера сертификации
Verisign, показан в примере 18.6. IP-адресом сервера onsiteipsec.verisign.com является
172.31.0.2. Обратите внимание на то, что здесь требуется и устанавливается режим
СА, но он явно не описан, поскольку является режимом по умолчанию. В данном
случае для хранения сертификатов используется необязательный сервер LDAP с адре-
адресом URL dirserv.xyz.com внутренней сети XYZ.
ример 18.6. Вариант применения комййд;связанйь1Х с
router(config)It crypto ca identity myvscaserver
router(ca-identity) It enrollment retry connt 100
router(ca-identity)# enrollment url http://onsiteipsec.verisign.com
router)ca-identity)# query url ldap://dirserv.xyz.com
! Эти сертификаты должны храниться сервером LDAP.
router(ca-identity)# crl optional
Объявление сервера СА в брандмауэре PIX Firewall
Объявление сервера СА в брандмауэре PIX Firewall состоит из двух шагов: непо-
непосредственно объявления сервера СА и настройки параметров связи СА. Командный
режим брандмауэра PIX Firewall не имеет подчиненных режимов, поэтому эквивален-
Глава 18. Масштабирование сетей IPSec 643

том команды маршрутизатора crypto ca identity в брандмауэре PIX Firewall являют-
являются две команды: ca identity и ca configure.
Шаг 4А. Объявление СА в брандмауэре PIX Firewall. Сервер СА, который должен
использоваться брандмауэром PIX Firewall, описывается командой ca identity в ре-
режиме конфигурации. В качестве опций можно указать место размещения сценария
CGI сервера СА и IP-адрес сервера LDAP, если это необходимо. Указанная команда
имеет следующий синтаксис:
ca identity ca мнемоника са_1р-адр&с[:са_место-сценария] [Ыар_1р-адрес]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
са_мнемоннка Имя сервера СА. Введите любую строку на свое усмотрение. (Если сервер СА уже описан и
вы хотели бы только изменить его характеристики, укажите имя, которое вы уже определили
ранее.) Сервер СА может требовать конкретное имя (например, имя домена)
са_1р-адрес IP-адрес сервера СА
: са_место-сценарня По умолчанию сценарием на сервере СА является /cgi-bin/pkiciient.exe с указанным
размещением. Если администратор СА разместил сценарий CGI в другом месте, ука-
укажите место размещения и имя сценария с помощью команды ca identity
Шр_1р-адрес (необязательный) Указывает IP-адрес сервера LDAP. По умолчанию запросы сертифи-
сертификатов и списков CRL выполняются по протоколу PKI Cisco. Если сервер СА поддержи-
поддерживает протокол LDAP, функции запроса могут также выполняться в рамках LDAP
В примере 18.7 показан вариант использования команды ca identity.
Pixfirewall(config)# ca identity ca.xyz.com 192.168.255.2
Шаг 4Б. Настройка параметров связи СА для брандмауэра PIX Firewall. Параметры
связи СА задаются с помощью команды ca configure в режиме конфигурации. Эту
команду можно использовать для того, чтобы указать, с каким объектом следует кон-
контактировать для получения сертификата: с СА или RA. Для каждого типа поддержи-
поддерживаемых серверов СА следует использовать свои параметры. Указанная команда имеет
следующий синтаксис:
ca configure ca мнемоника {ca | га} задержка чнсло_повторов [crloptional]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
са_мнемоннка Имя сервера СА. Используйте имя, которое вы указали в команде ca identity
ca или га Указывает, с каким объектом (СА или RA) следует контактировать при использовании
команды ca configure. Некоторые системы СА предлагают возможности сервера
RA, с которым брандмауэр PIX Firewall должен контактировать вместо СА
задержка Указывает, сколько времени (в минутах) должен ждать брандмауэр PIX Firewall, до то-
того как послать повторный запрос сертификата, если не получит от сервера СА ответ
на предыдущий запрос. Значения могут выбираться из диапазона от 1 до 60. По
умолчанию брандмауэр повторяет запросы через минуту
644
Часть VI. Виртуальные частные сети, использующие IPSec

Параметр команды Описание
число_повторов Указывает, сколько запросов сертификата должен послать брандмауэр PIX Firewall,
до того как отказаться от дальнейших попыток. Значения могут выбираться из диа-
диапазона от 1 до 100. По умолчанию выбирается значение 0, что означает отсутствие
ограничений на число повторных запросов сертификата у сервера СА
crloptional Разрешает брандмауэру PIX Firewall принимать сертификаты других сторон, даже ес-
если необходимый список CRL для брандмауэра недоступен. По умолчанию параметр
crloptional не используется
В примере 18.8 показан вариант использования команд, связанных с сервером
Verisign.
Pixfirewall(config)jt ca onsitelpsec.verisign.com 172.31.0.2
Pixfirewall(config)jt ca configure ca.xyz.com ca 1 20 crloptional
IP-адресом сервера onsiteipsec.verisign.com является 172.31.0.2. Обратите внима-
внимание на то, что здесь указан режим СА.
Вариант определения сервера Entrust показан в примере 18.9.
Pixfirewall(config)jf ca identity ca.xyz.com 192.168.255.2 192.168.255.2
Pixfirewall(config)jt ca configure ca.xyz.com ra 1 20 crloptional
IP-адресом этого сервера СА является 192.168.255.2. Обратите внимание на то, что
здесь указан режим RA. Второй IP-адрес определяет сервер запросов LDAP, разме-
размешенный по тому же адресу.
Шаг 5. Аутентификация СА
Следующий шаг настройки средств поддержки СА — аутентификация сервера
СА — состоит из следующих действий.
1. Введение команды для получения сертификата, содержащего открытый ключ СА
и подписанного самим сервером СА (чтобы гарантировать, что ключ является
действительным).
2. Аутентификация вручную сертификата, подписанного самим сервером СА, посред-
посредством взаимодействия с администратором сервера СА и сравнения "профилей" сер-
сертификата (хэш-кодов).
Аутентификация СА в маршрутизаторе Cisco
Чтобы получить открытый ключ сервера СА, можно использовать команду crypto
ca authenticate в режиме глобальной конфигурации. Если при вводе этой команды
указать режим RA (используя команду enrollment mode ra), то вместе с сертификатом
СА сервер СА возвратит сертификаты подписи и шифрования RA. Указанная команда
имеет следующий синтаксис:
crypto ca authenticate имя
Глава 18. Масштабирование сетей IPSec 645

Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Соответствует имени, используемому в команде crypto ca identity
После ввода команды crypto ca authenticate необходимо вручную проверить от-
открытый ключ СА посредством взаимодействия с администратором СА и сравнения
"профилей" исходного и полученного сертификатов СА.
Вариант использования команды crypto ca authenticate показан в примере 18.10.
^ ¦¦- --
ание команды crypto ca authenticate
Router(config)# crypto ca authenticate mycaserver
Certificate has the following attributes:
Fingerprint: 1A5416D6 2EEE8943 D11CCEE1 3DEE9CE7
% Do you accept this certificate? [yes/no]: у
Команда отображает "профиль" сертификата СА и спрашивает, принимаете ли вы
сертификат. Прежде чем ответить "да", вы вручную проверяете значение "профиля"
вместе с администратором сервера СА.
Аутентификация СА в брандмауэре PIX Firewall
Аутентификация сервера СА выполняется посредством получения его открытого
ключа и сертификата при использовании команды ca authenticate в режиме конфигу-
конфигурации. После ввода команды необходимо вручную проверить открытый ключ СА, уста-
установив связь с администратором сервера СА и сравнив "профили" исходного и получен-
полученного сертификатов. Сервер RA, если он используется (как в случае сервера Entrust), иг-
играет роль прокси-сервера для СА Указанная команда имеет следующий синтаксис:
ca authenticate са_нненоннка [профиль]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
са_мнемоннка Имя сервера СА. Используйте имя, указанное командой ca identity
профиль Ключ, состоящий из буквенно-цифровых символов, который брандмауэр PIX Firewall
использует для аутентификации сертификата СА. Указывать профиль не обязательно;
он используется для аутентификации открытого ключа СА внутри сертификата СА
Брандмауэр PIX Firewall отвергнет сертификат СА, если значение профиля, которое вы
укажете в данной команде, будет отличаться от значения, указанного в сертификате СА
В зависимости от того, какой сервер СА вы используете, у вас может возникнуть
необходимость запросить у локального администратора СА значение соответствую-
соответствующего профиля.
Имеется также возможность аутентифицировать сертификат открытого ключа
вручную посредством простого сравнения двух значений профиля при получении сер-
сертификата СА, не вводя это значение в указанную команду.
Вариант аутентификации сертификата СА показан в примере 18.11.
646 Часть VI. Виртуальные частные сети, использующие IPSec

Pixfirewall(config)#crypto ca authenticate ca.xyz.com
Шаг 6. Запрос собственного сертификата
Еще одним шагом настройки средств поддержки сервера СА является запрос от
сервера СА сертификата для вашего устройства IPSec. Этот процесс называется также
регистрацией устройства в сервере СА.
Маршрутизаторы Cisco можно зарегистрировать с помощью команды crypto ca
enroll, а брандмауэры PIX Firewall — с помощью команды ca enroll. В процессе ре-
регистрации у вас запрашивается пароль вызова, который может использоваться адми-
администратором сервера СА для вашей идентификации. Пароль сохраняется вместе с
другой информацией о регистрации вашего сертификата в сервере СА; он может по-
понадобиться при отзыве сертификата, так что для вас очень важно помнить этот па-
пароль. Запишите его и сохраните в надежном месте.
Команда регистрации запрашивает столько сертификатов, сколько имеется пар
ключей RSA. Эту команду потребуется использовать только один раз, даже если вы
имеете пары ключей RSA специального назначения. Вашему устройству Cisco необхо-
необходимо иметь подписанный сервером СА сертификат для каждой пары ключей RSA. Ес-
Если были созданы универсальные ключи, в результате выполнения этой команды будет
получен один сертификат, соответствующий одной паре универсальных ключей RSA
Если были созданы ключи специального назначения, эта команда получит два серти-
сертификата, соответствующие каждой из пар ключей RSA специального назначения. Если
вы уже имеете сертификат для ваших ключей, не сможете выполнить эту команду:
вместо этого вам будет предложено сначала удалить имеющиеся сертификаты.
Если ваше устройство Cisco начнет процесс перезагрузки после ввода соответст-
соответствующей команды регистрации, но до того как вы получите сертификат, вам придется
ввести команду снова.
Перед вводом этой команды свяжитесь с администратором вашего сервера СА, по-
поскольку администратору необходимо аутентифицировать ваше устройство Cisco вруч-
вручную перед тем, как выдать сертификат(ы). После ввода соответствующей команды
регистрации свяжитесь с администратором вашего сервера СА, чтобы с его помощью
вручную проверить подлинность сертификата СА для вашего устройства Cisco. Вве-
Введенная команда регистрации не сохраняется в конфигурации устройства Cisco.
Запрос сертификата для маршрутизатора Cisco
Сертификаты СА для всех пар ключей RSA маршрутизатора Cisco запрашиваются с
помощью команды crypto ca enroll глобальной конфигурации. Используйте эту ко-
команду с префиксом по, чтобы удалить уже имеющиеся данные регистрации. Указан-
Указанная команда имеет следующий синтаксис:
crypto ca enroll имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Имя сервера СА. Используйте имя, указанное при объявлении сервера СА в команде
crypto ca identity
Глава 18. Масштабирование сетей IPSec 647

После ввода команды crypto ca enroll у вас будет запрашиваться дополнительная
информация. Сначала вы получите запрос, предлагающий определить пароль вызова.
Этот пароль может содержать до 80 символов и понадобится вам в том случае, если
вы попытаетесь отменить действие сертификата. Когда вы запросите у администрато-
администратора СА отмену сертификата, вы должны будете предъявить пароль вызова, чтобы обес-
обеспечить защиту от "фальшивых" или ошибочных запросов отмены. Этот пароль не со-
сохраняется в вашей системе, поэтому вам нужно его запомнить. Если вы утратите па-
пароль, администратор СА сможет отменить действие сертификата, но для этого вам
потребуется предъявить доказательства личности администратора маршрутизатора.
Вам необходимо также указать, должен ли включаться в сертификат серийный но-
номер вашего маршрутизатора. Серийный номер не используется IPSec или IKE, но
может использоваться сервером СА либо для аутентификации сертификата, либо для
сопоставления в дальнейшем данного сертификата с конкретным маршрутизатором.
(Обратите внимание на то, что сохраняемый в данном случае серийный номер являет-
является серийным номером внутренней платы, а не тем номером, который указан на кор-
корпусе устройства.) Спросите у администратора вашего сервера СА, следует ли указы-
указывать серийные номера устройств. Если вы сомневаетесь, каким должен быть ответ на
этот вопрос, укажите серийный номер. Обычно не требуется указывать IP-адрес, по-
поскольку он привязывает сертификат к конкретному объекту, и если маршрутизатор
будет перемешен, вам придется получить новый сертификат. Наконец, маршрутизатор
может иметь множество IP-адресов, любой из которых может использоваться с IPSec.
Если вы укажете, что IP-адрес должен включаться в сертификат, от вас потребуют
описать интерфейс IP-адреса. Этот интерфейс должен соответствовать интерфейсу, к
которому вы применяете криптографическую карту. Если вы применяете наборы
криптографических карт не к одному интерфейсу, а к нескольким, укажите интер-
интерфейс, который вы задали в команде crypto шар local-address. Вариант регистрации
маршрутизатора в сервере СА показан в примере 18.12.
Router(config)fl crypto ca enroll mycaserver
I Start certificate enrollment ..
I Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password: <mypassword>
Re-enter password: <mypassword>
% The subject name in the certificate will be: routerA.cisco.com
I Include the router serial number in the subject name? [yes/no]: у
I The serial number in the certificate will be: 11365470
I Include an IP address in the subject name? [yes/no]: n
Request certificate from CA? [yes/no]: у
I Certificate request sent to Certificate Authority
I The certificate request fingerprint will be displayed.
I The 'show crypto ca certificate' command will also show the fingerprint.
Router(config)fl
648 Часть VI. Виртуальные частные сети, использующие IPSec

Через некоторое время маршрутизатор получит сертификат от сервера СА и ото-
отобразит сообщение, подобное показанному в примере 18.13.
18.13. Сообщение СА . . .- .Л -
g^i „ .. ¦_ . . ¦ . i ...'....;.: ;-:.f и..'
Router(config)# Fingerprint: 01234567 89ABCDEF FEDCBA98 75543210
%CRYPTO-6-CERTRET: Certificate received from Certificate Authority
Router(config)#
Если необходимо, администратор маршрутизатора может проверить полученное
значение профиля с помощью администратора сервера С А.
Запрос сертификата для брандмауэра PIX Firewall
Сертификаты СА для всех пар ключей RSA брандмауэра PIX Firewall запрашива-
запрашиваются с помощью команды са enroll. Указанная команда имеет следующий синтаксис:
са enroll са_темоника пароль вызова [serial] [1р_адрес]
Параметры команды описаны в следующей таблице.
Параметр команды Описание
са_мнемоннка Имя сервера СА. Используйте имя, которое вы указали в команде са identity
пароль_вызова Задает пароль, обеспечивающий администратору сервера СА определенные возмож-
возможности идентификации пользователя, запрашивающего отмену сертификата. Может
содержать до 80 символов
serial (необязательный) Указывает серийный номер брандмауэра PIX Firewall
ip_appec IP-адрес брандмауэра PIX Firewall
Если необходимо отменить текущий запрос регистрации, используйте команду по
са enroll.
Пароль вызова требуется при отмене сертификата брандмауэра PIX Firewall. За-
Запросив у администратора сервера СА отмену вашего сертификата, необходимо предъ-
предъявить пароль вызова, используемый в качестве средства защиты от ложных или оши-
ошибочных запросов отмены. Этот пароль не сохраняется в вашей системе, поэтому нуж-
нужно его запомнить. Если вы забудете пароль, администратор СА сможет отменить
действие сертификата брандмауэра PIX Firewall, но для этого ему потребуется удосто-
удостоверить личность администратора брандмауэра PIX Firewall.
Обычно не требуется указывать IP-адрес, поскольку он привязывает сертификат к
конкретному объекту, и если маршрутизатор будет перемещен, вам придется получить
новый сертификат. Наконец, маршрутизатор может иметь множество IP-адресов, лю-
любой из которых может использоваться с IPSec.
Серийный номер брандмауэра PIX Firewall указывать не обязательно. Если вы
укажете параметр serial, в полученный сертификат будет включен серийный номер
устройства. Серийный номер не используется IPSec или IKE, но может использовать-
использоваться сервером СА либо для аутентификации сертификата, либо для сопоставления в
дальнейшем данного сертификата с конкретным маршрутизатором.
IP-адрес брандмауэра PIX Firewall тоже необязателен. Если вы укажете параметр
ip адрес, в полученный сертификат будет включен IP-адрес устройства. Обычно не
требуется указывать IP-адрес, поскольку он привязывает сертификат к конкретному
Глава 18. Масштабирование сетей IPSec 649

объекту, и если брандмауэр PIX Firewall будет перемещен, вам придется получить но-
новый сертификат.
При настройке IKE для аутентификации на основе сертификатов, важно обеспе-
обеспечить соответствие идентификации IKE и типа используемого сертификата. Команда
са enroll, используемая для получения сертификатов, по умолчанию запрашивает
сертификат, предполагающий идентификацию по имени хоста. С другой стороны, для
команды isakmp identity по умолчанию применяется идентификация по адресу, а не
по имени хоста. Если идентификация основывается на использовании адреса, а для
аутентификации применяются подписи RSA, то аутентификация основного режима
IKE завершится аварийно. Этого несоответствия можно избежать, если использовать
команду isakmp identity hostname. Тогда в основном режиме первой фазы IKE сто-
стороны будут использовать аутентификацию на основе адресов хостов.
Вариант команды аутентификации сервера СА показан в примере 18.14. Строка
mypasswordl234567 в этой команде является паролем, который не сохраняется в кон-
конфигурации локального устройства, но регистрируется сервером СА.
Pixfirewall(config)jtca enroll ca.xyz.com mypasswordl234567
После ввода этой команды свяжитесь с администратором вашего сервера СА, что-
чтобы с его помощью вручную проверить подлинность сертификата СА для вашего
брандмауэра PIX Firewall.
Шаг 7. Сохранение конфигурации
Целью данного шага настройки средств поддержки СА является сохранение кон-
конфигурации в памяти устройства. Соответствующие процедуры маршрутизаторов Cisco
и брандмауэров PIX Firewall при этом различаются.
• Конфигурация маршрутизатора Cisco. После настройки конфигурации маршру-
маршрутизатора Cisco для поддержки сервера СА, необходимо сохранить настройки с
помощью команды copy running-config startup-config, которая сохраняет те-
текущую конфигурацию маршрутизатора в памяти NVRAM.
• Конфигурация брандмауэра PIX Firewall. Сохраните параметры поддержки серве-
сервера СА брандмауэра PIX Firewall с помощью команд са save all и write memory.
Команда са save all позволяет сохранить пары ключей RSA брандмауэра PIX
Firewall, сертификаты СА, RA, сертификаты брандмауэра PIX Firewall и списки
CRL сервера СА в перманентном файле флэш-памяти, содержимое которого не
исчезнет между перезагрузками. Команда no ca save удаляет сохраненные дан-
данные из флэш-памяти брандмауэра PIX Firewall. Сама команда са save не со-
сохраняется в конфигурации брандмауэра PIX Firewall между перезагрузками.
Команда write memory сохраняет текущие настройки СА в флэш-памяти.
Шаг 8. Проверка конфигурации средств поддержки СА
На этом шаге выполняется проверка того, что устройство Cisco настроено пра-
правильно и успешно зарегистрировано сервером СА. Маршрутизаторы Cisco и бранд-
брандмауэры PIX Firewall предлагают ряд команд show для контроля параметров поддержки
сервера СА. Эти команды и будут обсуждаться в данном разделе.
650 Часть VI. Виртуальные частные сети, использующие IPSec

Проверка параметров поддержки СА в конфигурации маршрутизатора Cisco
Для проверки параметров поддержки сервера СА в конфигурации маршрутизатора
Cisco можно использовать две команды. Команда show crypto ca certificates ото-
отображает информацию о вашем сертификате, сертификате сервера СА и сертификатах
RA, а команда show crypto key mypubkey позволяет увидеть ключи RSA маршрутиза-
маршрутизатора и других сторон IPSec, регистрируемых с помощью СА.
В примере 18.15 показан результат применения команды show crypto ca certificates.
. Пример 18.15. Результат применения коман^®'1'bo|&|S^to;%^certif icates, -
router* show crypto ca certificates
Certificate
Subject Name
Name: routerA.xyz.com
IP Address: 172.16.1.1
Status: Available
Certificate Serial Number: 0123456789ABCDEF0123456789ABCDEF
Key Usage: General Purpose
CA Certificate
Status: Available
Certificate Serial Number: 3051DF7123BEE31B8341DFE4B3A338E5F
Key Usage: Not Set
В примере 18.16 представлен вариант вывода команды show crypto key mypubkey
rsa. Для этого маршрутизатора ранее были сгенерированы ключи RSA специального
назначения с помощью команды crypto key generate rsa.
Пример 18.16. Вывод команды show crypto key mypubkey rsa , i
router* show crypto key mypubkey rsa
% Key pair was generated at: 06:87:49 UTC Feb 29 2000
Key name: routerA.xyz.com
Usage: Signature Key
Key Data:
005C300D 06092A86 4886F70D 01010105 00034BOO 30480241 00C5E23B 55D6AB22
04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2
BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001
% Key pair was generated at: 06:07:50 UTC Feb 29 2000
Key name: myrouter.domain.com
Usage: Encryption Key
Key Data:
00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5
18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB
07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21
В примере 18.17 показан вывод команды show crypto key pubkey-chain rsa.
Глава 18. Масштабирование сетей IPSec 651

Code
M
M
С
С
С
Usage
Signature
Encryption
Signature
Encryption
General
IP-address
172.16.3.1
172.16.3.1
172.16.2.1
172.16.2.1
172.16.4.1
router! show crypto key pubkey-chain rsa
Codes: M - Manually Configured, С - Extracted from certificate
Name
routerC.xyz.com
routerC.xyz.com
routerB.xyz.com
routerB.xyz.com
routerD.xyz.com
В примере 18.17 показаны два вручную размещенных открытых ключа RSA специ-
специального назначения для устройства routerC. Там же показаны три ключа, полученные
из сертификатов сторон: ключи специального назначения (ключи шифрования и под-
подписи) для стороны routerB и универсальный ключ стороны routerD. Ключи сторон,
извлеченные из сертификатов, обозначены символом "С" в столбце кода. Ключи,
размещенные вручную, обозначены символом "М". После аутентификации стороны с
помощью подписи RSA, открытый ключ RSA этой стороны должен появиться в спи-
списке открытых ключей с кодом С.
В примере 18.18 представлена выборка команд конфигурации маршрутизатора, на-
настроенного для поддержки сервера СА.
маршрутизатбра, настроенного
routerA* show running-config
!
hostname routerA
i
ip domain-name xyz.com
!
crypto ca identity mycaserver
enrollment mode ra
enrollment url http://xyzcaserver:80
query url ldap://xyzcaserver
crl optional
crypto ca certificate chain entrust
certificate 37C6EAD6
30820299 30820202 A0030201 02020437 C6EAD630 0D06092A
864886F7 0D010105
(certificates concatenated)
Проверка параметров поддержки СА в конфигурации брандмауэра PIX
Firewall
Для проверки параметров поддержки СА в конфигурации брандмауэра PIX Firewall
можно использовать команды, описанные в табл. 18.3.
652
Часть VI. Виртуальные частные сети, использующие IPSec

Таблица 18.3. команды проверки параметров поддержки сервера СА
в брандмауэре PIX Firewall
Команда Описание
show ca identity Показывает текущие установки идентификации СА, сохраненные в ОЗУ
show ca configure Показывает установки параметров связи СА
show ca certificate Показывает сертификаты брандмауэра PIX Firewall, серверов СА и RA. Исполь-
Используется для проверки успешного завершения процесса регистрации СА
show ca aypubkey rsa Показывает пару (или пары) открытых ключей RSA брандмауэра PIX Firewall
В примере 18.19 показан вариант вывода команды show ca mypubkey rsa.
PixfirewallJ show ca mypubkey rsa
% Key pair was generated at: 15:34:55 Feb 29 2000
Key name: ca.xyz.com
Usage: General Purpose Key
Key Data:
305c300d 06092a86 4886f70d 01010105 00034b00 30480241 00c31f4a ad32f60d
6e7ed9a2 32883ca9 319a4b30 e7470888 87732e83 c909fbl7 fb5cae70 3de738cf
6e2fdl2c 5b3ffa98 8c5adc59 Iec84d78 90bdb53f 2218cfe7 3f020301 0001.
В примере 18.20 представлена конфигурация брандмауэра PIX Firewall, настроен-
настроенного для поддержки сервера СА.
Пример18.20. Конфигурация брандмауэра PIX Firewall, настроенного для
Pixljf write terminal
I
hostname Pixl
domain-name xyz.com
I
ca identity ca.xyz.com 192.168.255.2:cgi-bin/pkiclient.exe 192.168.255.2
ca configure ca.xyz.com ra 1 100 crloptional
Шаг 9. Мониторинг и управление взаимодействием СА
По завершении настройки средств для поддержки сервера СА в маршрутизаторе
Cisco или брандмауэре PIX Firewall вам может понадобиться решить некоторые
(необязательные) задачи сопровождения, которые должны помочь обеспечить кор-
корректное функционирование системы. В этом разделе описаны следующие
(необязательные) шаги, которые могут выполняться как для маршрутизаторов Cisco,
так и для брандмауэров PIX Firewall.
• Запрос списка отозванных сертификатов (списка CRL).
• Удаление ключей RSA маршрутизатора или брандмауэра.
Глава 18. Масштабирование сетей IPSec 653

Удаление сертификатов из конфигурации.
Удаление открытых ключей удаленной стороны.
Запрос списка CRL
Периодически у сервера СА следует запрашивать список CRL (список отозванных сер-
сертификатов). Если ваше устройство Cisco имеет список CRL, срок действия которого еще
не истек, но вы подозреваете, что содержание списка уже устарело, необходимо немедлен-
немедленно загрузить самый последний список CRL, чтобы заменить старый. Соответствующий за-
запрос выполняется с помощью команды crypto ca cri request в маршрутизаторе Cisco или
команды са cri request в брандмауэре PIX Firewall. Вручную список CRL запрашивается
только тогда, когда сервер СА не поддерживает возможности RA.
В списке CRL представлены все сертификаты сетевых устройств, которые были
отозваны (т.е. их действие отменено). Отозванные сертификаты не будут признаны
вашим устройством Cisco, поэтому ни одно устройство IPSec с отозванным сертифи-
сертификатом не сможет обменяться данными IPSec с вашим устройством Cisco.
Когда ваше устройство Cisco впервые получает сертификат удаленной стороны,
оно загружает и список CRL с сервера СА. Ваше устройство Cisco затем проверяет
CRL, чтобы убедиться, что сертификат соответствующей стороны не был отозван. Ес-
Если этот сертификат указан в списке CRL, устройство не примет его и не аутентифи-
цирует соответствующую сторону.
Список CRL может повторно использоваться с последующими сертификатами до
тех пор, пока не истечет срок его действия. Если ваше устройство Cisco получит сер-
сертификат удаленной стороны после того, как истечет срок действия CRL, оно автома-
автоматически загрузит новый список CRL. Команда запроса CRL в конфигурации устрой-
устройства не сохраняется.
Конфигурация запроса CRL в маршрутизаторе Cisco. Чтобы немедленно запросить новый
список CRL у сервера СА, воспользуйтесь командой crypto ca cri request режима гло-
глобальной конфигурации. Используйте эту команду только в том случае, если ваш сервер СА
не поддерживает возможности RA. Указанная команда имеет следующий синтаксис:
crypto ca cri request имя
Параметр команды описан в следующей таблице.
Параметр команды Описание
имя Имя сервера СА. Используйте имя, указанное при объявлении сервера СА в команде
crypto ca identity
В примере 18.21 показана команда немедленной загрузки самой последней версии
CRL в маршрутизатор.
«Лрирю^18^ЙЗ«№руз«а'ф,1«1^и^|^1(^чй|й верещи CRL в маршрутизатор.'
Router(config)i crypto ca cri request mycaserver
Конфигурация запроса CRL в брандмауэре PIX Firewall. Брандмауэр PIX Firewall за-
запрашивает список CRL так же, как и маршрутизатор Cisco, но брандмауэр PIX
Firewall автоматически запрашивает CRL у сервера СА в разное время, в зависимости
от того, находится сервер СА в режиме RA или нет. Если сервер СА не находится в
654 Часть VI. Виртуальные частные сети, использующие IPSec

режиме RA, список CRL запрашивается после каждой перезагрузки, когда система
обнаруживает, что у нее нет действительного списка CRL (т.е. списка отозванных сер-
сертификатов, срок действия которого не истек). Если сервер СА находится в режиме
RA, список CRL не может быть получен до тех пор, пока в рамках IKE не будет полу-
получен сертификат удаленной стороны, потому что сам сертификат содержит информа-
информацию о том, куда брандмауэр PIX Firewall должен обратиться за соответствующим спи-
списком CRL. Когда срок действия CRL истекает, брандмауэр PIX Firewall автоматически
запрашивает новый список. Пока не будет получен новый действительный список
CRL, брандмауэр PIX Firewall не будет принимать сертификаты удаленных сторон.
Чтобы получить новый список CRL от сервера СА немедленно, в брандмауэре PIX
Firewall следует использовать команду са crl request режима конфигурации. Указан-
Указанная команда имеет следующий синтаксис:
са crl request са_мнемоника
Параметр команды описан в следующей таблице.
Параметр команды Описание
са_мнемоиика Имя сервера СА. Используйте имя, указанное при объявлении сервера СА в команде
crypto ca identity
В примере 18.22 показано, как брандмауэр PIX Firewall получает обновленный
список CRL от сервера СА с именем mycaserver.
; Пример 18.22. Получение обновленного списка отозванных сертификатов '
: от сервера СА
Pixfirewallfconfig)! ca crl request mycaserver
Удаление ключей RSA и сертификатов устройства
При определенных обстоятельствах может возникнуть необходимость удалить
имеющиеся ключи RSA вашего маршрутизатора Cisco или брандмауэра PIX Firewall.
Например, вы считаете, что ключи RSA по каким-то причинам больше использовать-
использоваться не должны и их необходимо удалить. Кроме того, может возникнуть необходимость
изменить имя хоста устройства Cisco, что приведет к изменению полного доменного
имени устройства, в котором размещаются ключи RSA. При удалении ключей RSA
необходимо также удалить сертификаты соответствующего устройства Cisco, сгенери-
сгенерировать новые ключи RSA, снова настроить средства поддержки СА и перерегистриро-
перерегистрировать устройство в сервере СА, как описано ниже.
Удаление ключей RSA и сертификатов СА для маршрутизатора Cisco. Чтобы удалить
ключи RSA и сертификаты СА маршрутизатора Cisco, выполните следующее.
1. Удалите все ключи RSA маршрутизатора Cisco с помощью команды crypto key
zeroize rsa режима глобальней конфигурации. Если вы вводите эту команду,
должны также удалить сертификаты СА.
2. Вручную удалите сертификаты маршрутизатора из конфигурации маршрутизато-
маршрутизатора. Чтобы удалить сертификат маршрутизатора или сертификат RA из конфигу-
конфигурации маршрутизатора, используйте следующие команды режима глобальной
конфигурации:
Глава 18. Масштабирование сетей IPSec 655

show crypto ca certificates — отображает информацию о сертификатах,
хранимых в маршрутизаторе, включая порядковый номер сертификата, ко-
который вы собираетесь удалить;
crypto ca certificate chain имя — открывает режим конфигурации цепоч-
цепочки сертификата;
no certificate иомер-сертификата — удаляет сертификат, используя порядко-
порядковый номер, который вы отметили ранее.
Замечание
Можно также удалить весь объект СА, в результате чего удаляются все сертификаты,
связанные с сервером СА, — сертификат вашего маршрутизатора, сертификат СА и
все сертификаты RA. Чтобы удалить объект СА, воспользуйтесь командой no crypto
ca identity имя в режиме глобальной конфигурации.
3. Запросите у администратора СА отзыв сертификатов вашего маршрутизатора.
При этом нужно предъявить пароль вызова, который вы создали тогда, когда по-
получали сертификаты маршрутизатора с помощью команды crypto ca enroll.
Удаление ключей RSA и сертификатов СА для брандмауэра PIX Firewall. Чтобы уда-
удалить ключи RSA и сертификаты СА брандмауэра PIX Firewall, выполните следующую
процедуру.
1. Удалите все ключи RSA брандмауэра PIX Firewall с помощью команды key zeroize
rsa режима конфигурации. Эта команда удаляет все ключи RSA, которые ранее были
созданы брандмауэром PIX Firewall. После ввода этой команды нужно выполнить
следующие две дополнительные операции, чтобы удалить сертификаты СА.
2. Вручную удалите сертификаты брандмауэра PIX Firewall из конфигурации с по-
помощью команды no ca identity. В результате будут удалены все сертификаты,
выданные сервером СА, и сам объект СА.
3. Запросите у администратора СА отзыв сертификатов вашего брандмауэра PIX
Firewall. При этом необходимо предъявить пароль вызова, который вы создали,
когда получали сертификаты брандмауэра PIX Firewall с помощью команды
crypto ca enroll.
Замечание
Удалить все пары ключей RSA, сертификаты СА, RA и брандмауэра PIX Firewall, a
также списки CRL из перманентного файла флэш-памяти можно с помощью команды
no ca save в режиме конфигурации.
Удаление открытых ключей RSA
При определенных обстоятельствах может понадобиться удаление открытых клю-
ключей RSA других сторон из конфигурации вашего маршрутизатора Cisco. Например,
если вы подозреваете, что целостность какого-то открытого ключа нарушена, необхо-
необходимо его удалить. Обратитесь к разделу "Удаление открытых ключей RSA" главы 16,
где описаны действия, которые необходимо выполнить при удалении открытого клю-
ключа RSA удаленной стороны.
656 Часть VI. Виртуальные частные сети, использующие IPSec

Задача 3. Настройка IKE для IPSec
В процессе настройки IPSec для поддержки сервера СА необходимо установить
определенные ранее параметры IKE. В этом разделе описаны действия, выполняемые
для настройки параметров политики IKE. Обратите внимание на то, что в данном
случае процесс настройки IKE практически идентичен процессу настройки IKE для
использования общих ключей, но здесь выбирается другой метод аутентификации.
Процесс настройки IKE предполагает выполнение следующих шагов.
Шаг 1. Активизация или отключение IKE с помощью команды crypto isakmp enable в
маршрутизаторах Cisco или команды isakmp enable в брандмауэрах PIX Firewall.
Шаг 2. Создание политик IKE, предлагающих поддержку подписей RSA, с помощью
команды crypto isakmp policy в маршрутизаторах Cisco или команды isakmp
policy в брандмауэрах PIX Firewall. Это уникальный шаг процесса настройки
IKE для поддержки сервера СА. Настройка средств поддержки СА осуществ-
осуществляется в результате выбора метода аутентификации IKE, основанного на ис-
использовании подписей RSA. При этом необходимо выполнить следующее.
• В маршрутизаторе Cisco следует ввести команду authentication rsa-sig
для политики IKE.
• В брандмауэре PIX Firewall нужно ввести команду isakmp policy приоритет
authentication rsa-sig для политики IKE.
Шаг 3. Проверка конфигурации IKE с помощью команд show и debug, как в случае
использования общих ключей.
Более подробная информация о настройке IKE в маршрутизаторах Cisco и бранд-
брандмауэрах PIX Firewall содержится в разделах "Задача 3. Настройка IPSec" главы 16 (для
маршрутизаторов Cisco) и "Задача 3. Настройка IPSec" главы 17 (для брандмауэров
PIX Firewall).
Задача 4. Настройка IPSec
Настройка IPSec предполагает определение наборов преобразований, создание
списков шифрованного доступа и записей криптографических карт, а также примене-
применение наборов записей криптографических карт к интерфейсам. Выполняемые при этом
действия не зависят от метода аутентификации (при условии, что используется IKE),
и поэтому описания этих действий здесь не повторяются. Соответствующие описания
содержатся в разделах "Задача 3. Настройка IPSec" главы 16 (для маршрутизаторов
Cisco) и "Задача 3. Настройка IPSec" главы 17 (для брандмауэров PIX Firewall).
Задача 5. Проверка конфигурации VPN
Последней задачей процесса настройки средств для поддержки сервера СА являет-
является проверка того, что все действия предыдущих задач настройки были выполнены
правильно и в результате была создана правильная конфигурация СА, IKE и IPSec. В
этом разделе описаны методы и команды проверки параметров поддержки сервера СА
в рамках конфигурации VPN. Команды и процедуры, касающиеся конфигурации IKE
и IPSec, отличаются только в выборе метода аутентификации, и поэтому их описания
в данной главе не дублируются.
Глава 18. Масштабирование сетей IPSec 657

Проверка конфигурации параметров поддержки СА
в маршрутизаторе Cisco
В этом разделе описаны команды, используемые в маршрутизаторах Cisco для про-
проверки настройки средств поддержки сервера СА.
Конфигурацию и сертификаты СА можно проверить с помощью команд, описан-
описанных в табл. 18.4.
Таблица 18.4. КомандЦпр^ | ; j
*А'" "[Jiff ^^^^Ш"^^^^^^Ш^ШШ^9& i!S1 ^ HI
Команда Описание
show crypto ca certificates Отображает информацию о сертификате вашего устройства, а также о
сертификатах СА и RA
show crypto key mypubkey Отображает информацию о ключах RSA вашего маршрутизатора и дру-
других сторон IPSec, зарегистрированных с помощью сервера СА
Вывод сообщений отладки СА активизируется с помощью команды, показанной в
табл. 18.5.
j Таблица 18.5. Команда отладки |
Команда Описание
debug crypto pki Отображает данные об обмене SCEP между маршрутизатором и
сервером СА
Ключи RSA и сертификаты СА можно удалить с помощью команд, показанных в
табл. 18.6.
1 Таблица 18.6. Команды удаления ключей RSA и сертификатов СА |
Команда Описание
crypto key zeroize rsa Удаляет все ключи RSA, которые ранее были сгенерированы маршрутизато-
маршрутизатором. После ввода этой команды необходимо также ввести команду по
crypto ca identity, чтобы удалить сертификаты СА, и запросить у ад-
администратора сервера СА отмену сертификатов вашего маршрутизатора
no crypto ca identity имя Вручную удаляет сертификаты маршрутизатора из конфигурации уст-
устройства и удаляет все сертификаты, выданные сервером СА
Проверка конфигурации параметров поддержки СА
в брандмауэре PIX Firewall
В этом разделе приводятся команды, которые можно использовать в брандмауэрах
PIX Firewall для проверки настройки средств поддержки сервера СА.
Конфигурацию СА можно проверить с помощью команд, описанных в табл. 18.7.
Вывод сообщений отладки СА активизируется с помощью команды, показанной в
табл. 18.8.
658 Часть VI. Виртуальные частные сети, использующие IPSec

Таблица 18.7. Команды проверки конфигурации и сертификатов СА
брандмауэра PIX Firewall
Команда
Описание
show ca identity
show ca configure
show ca mypubkey rsa
show ca certificate
Отображает информацию о сервере СА, который будет использовать ваш
брандмауэр PIX Firewall
Отображает значения параметров взаимодействия между брандмауэром PIX
Firewall и сервером СА
Отображает информацию об открытых ключах RSA брандмауэра PIX Firewall
Отображает информацию о текущем состоянии запрошенных сертификатов,
а также соответствующую информацию о полученных сертификатах
(например, о сертификатах СА и RA)
1ица 18.8. Команда отладки регистрации СА для брандмауэра PIX Fii
Команда Описание
debug crypto ca
Отображает сообщения обмена между брандмауэром FIX Firewall и сервером СА
Ключи RSA и сертификаты СА можно удалить с помощью команд, показанных в
табл. 18.9.
9. Команды удаления ключей RSA и сертификатов СА
брандмауэра PIX Firewall
Описание
Команда
ca zeroize rsa
no ca identity
Удаляет все ключи RSA, которые ранее были сгенерированы. После ввода
этой команды необходимо также ввести команду no ca identity, чтобы
удалить сертификаты СА, и запросить у администратора сервера СА отмену
сертификатов вашего брандмауэра PIX Firewall
Вручную удаляет сертификаты брандмауэра PIX Firewall из конфигурации
устройства и удаляет все сертификаты, выданные сервером СА
Масштабирование поддержки VPN
в сетях Cisco
Маршрутизаторы Cisco, брандмауэры PIX Firewall и клиент CiscoSecure VPN могут
применяться для создания сетей VPN удаленного доступа, использующих IPSec. Динами-
Динамические криптографические карты, настройки режима IKE и расширенная аутентификация
IPSec — все эти возможности IPSec могут использоваться для создания сетей VPN.
Конфигурация связи VPN между узлами может допускать масштабирование, что в
совокупности со средствами распознавания конечных точек туннелей в маршрутиза-
маршрутизаторах Cisco позволяет создавать очень большие и сложные сети.
В этом разделе предлагается обзор возможностей конфигурации, обеспечивающих
поддержку сетей удаленного доступа и масштабирования межузловых связей. После
краткого обсуждения каждой из этих возможностей предлагаются описания соответст-
Глава 18. Масштабирование сетей IPSec
659

вующих процессов настройки для маршрутизаторов Cisco и брандмауэров PIX
Firewall. Для лучшего понимания материала этого раздела желательно ознакомиться с
документами, указанными в разделе "Ссылки" в конце главы.
Настройка динамических криптографических карт
Маршрутизаторы Cisco и брандмауэры PIX Firewall поддерживают динамические крип-
криптографические карты. Использование динамических криптографических карт может упро-
упростить конфигурацию IPSec и рекомендуется в тех сетях, где стороны не всегда известны
заранее. Примером могут быть мобильные пользователи (клиенты VPN), которые получа-
получают динамически присваиваемые IP-адреса. Сначала мобильным клиентам необходимо
пройти процедуру аутентификации в локальном маршрутизаторе Cisco или брандмауэре
PIX Firewall, использующем IKE, на основе каких-то признаков, отличных от IP-адреса
(например, с помощью полностью определенного доменного имени). По завершении ау-
аутентификации запрос установки ассоциаций защиты может быть выполнен с помощью
динамической криптографической карты, которой позволено принимать запросы (в соот-
соответствии с локальной политикой защиты) от заранее неизвестных сторон.
Динамические криптографические карты доступны только для использования в
рамках IKE. Запись динамической криптографической карты является, по существу,
записью криптографической карты, в которой определены не все параметры. Такая
запись выполняет роль шаблона политики, в котором отсутствующие параметры будут
динамически размещены позже (в результате процесса согласования IPSec) таким об-
образом, чтобы удовлетворить требования удаленной стороны. Это дает возможность
связывающимся сторонам обменяться данными IPSec даже в том случае, если соот-
соответствующее устройство Cisco не имеет записи криптографической карты, в точности
отвечающей всем требованиям удаленной стороны.
Динамические криптографические карты используются устройствами Cisco тогда,
когда создание ассоциаций защиты IPSec инициирует удаленная сторона.
Настройка динамической криптографической карты
в маршрутизаторе
Настройка динамических криптографических карт в маршрутизаторах Cisco вы-
выполняется следующим образом.
Шаг 1. Ввод команды crypto dynamic-map имя-карты порядк-номер, открывающей ре-
режим config-dynamic-crypto-map.
Шаг 2. Настройка параметров динамической криптографической карты. Для каждой
записи динамической криптографической карты при этом требуется только
команда set transform-set. Команда set peer обычно не используется, по-
поскольку параметры удаленной стороны неизвестны.
Шаг 3. Связывание динамической криптографической карты с обычной криптогра-
криптографической картой с помощью команды crypto map имя-карты порядк-иомер
ipsec-isakmp [dynamic имя-дииамич-карты).
Шаг 4. Связывание криптографической карты с интерфейсом посредством перехода в
режим конфигурации интерфейса и ввода команды crypto map имя-карты.
В примере 18.23 показаны параметры динамической криптографической карты в
маршрутизаторе Cisco.
660 Часть VI. Виртуальные частные сети, использующие IPSec

Пример 18.23. Динамическая криптографическая карта
¦"НИН»»- . ... ¦
crypto ipsec transform-set mine esp-3des
!
crypto dynamic-map dynomap 210
set transform-set mine
match address 110
!
crypto map mymap 30 ipsec-isakmp dynamic dynomap
!
interface SerialO
crypto map mymap
!
access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
Настройка динамической криптографической карты
в брандмауэре PIX Firewall
Настройка динамических криптографических карт в брандмауэрах PIX Firewall вы-
выполняется следующим образом.
Шаг 1. Определение наборов преобразований, разрешенных для данной записи дина-
динамической криптографической карты. Укажите наборы преобразований в по-
порядке приоритета, причем набор с наивысшим приоритетом должен быть ука-
указан первым. Чтобы указать набор преобразований, используйте команду
crypto dynamic-map имя-динамич-карты динамич-порядк-номер set transform-set
имя-набора1[, имя-иабора2, имя-набора9]. Дополнительно с помощью серии ко-
команд crypto dynamic-map можно указать список доступа, параметры удаленной
стороны, пределы существования IPSec и опцию PFS.
Замечание
Можно использовать команду nat (имя интерфейса) 0 access-list имя списка, чтобы
освободить трафик, удовлетворяющий условиям команды access-list, от услуг сер-
сервиса NAT (сервис трансляции сетевых адресов). Соответствующая команда access-
list не должна использовать селекторы портов.
Шаг 2. Добавление набора записей динамической криптографической карты к стати-
статической криптографической карте с помощью команды crypto map имя-карты
порядк-номер ipsec-isakmp dynamic имя-дииамич-карты. Помните о том, что за-
записи криптографической карты, ссылающиеся на динамические карты, долж-
должны иметь самый низкий приоритет (т.е. самые большие порядковые номера).
Шаг 3. Применение с помощью команды crypto map имя-карты interface имя-
интерфейса криптографической карты к интерфейсу, в рамках которого будет
оцениваться трафик IPSec.
В примере 18.24 показан вариант конфигурации динамической криптографической
карты в брандмауэре PIX Firewall, устанавливающей список доступа.
Глава 18. Масштабирование сетей IPSec 661

crypto ipsec transform-set mysetl esp-3des esp-md5-hmac
crypto dynamic-map dynomap 10
match address 110
crypto dynamic-map dynomap 10
set transform-set mysetl
crypto map mymap 200 ipsec-isakmp dynamic dynomap
crypto map mymap interface outside
access-list 110 permit ip 10.1.1.0 0.0.0.255 10.2.1.0 0.0.0.255
nat (outside) 0 access-list 110
Настройка режима IKE mode config
При настройке режима IKE mode config шлюз защиты (маршрутизатор Cisco или
брандмауэр PIX Firewall) может загрузить IP-адрес (и другие параметры конфигура-
конфигурации сетевого уровня) в систему клиента VPN (удаленной стороны) в ходе процесса
согласования IKE. Используя эту возможность, шлюз защиты предоставляет клиенту
IKE IP-адрес, который должен использоваться в качестве "внутреннего" IP-адреса,
инкапсулированного в пакет IPSec, подобно протоколу DHCP (Dynamic Host Con-
Configuration Protocol — протокол динамической конфигурации хоста) для клиентов ком-
коммутируемого доступа. Это обеспечивает клиенту VPN известный IP-адрес, который
может использоваться в операторах сравнения, реализующих требования политики
IPSec. Существует два типа режима IKE mode config.
• Инициатива шлюза. Соответствующий режим конфигурации инициирует шлюз.
После ответа клиента протокол IKE модифицирует данные, идентифицирую-
идентифицирующие отправителя, сообщение обрабатывается, и клиент получает ответ.
• Инициатива клиента. Соответствующий режим конфигурации инициирует кли-
клиент. Шлюз использует для ответа IP-адрес, который назначен для клиента.
Настройка режима IKE mode config в маршрутизаторе
Маршрутизатор Cisco настраивается для режима IKE mode config с помощью ди-
динамической криптографической карты. Настройка режима IKE mode config в маршру-
маршрутизаторе Cisco выполняется в режиме глобальной конфигурации.
Шаг 1. Определение пула IP-адресов, присваиваемых клиенту VPN, с помощью ко-
команды ip local pool имя-пула начальный-адрес конечный-адрес.
Шаг 2. Создание ссылки на пул локальных адресов в рамках политики IKE с помощью
команды crypto isakmp client configuration address-pool local имя-пула.
Шаг З. Создание динамической криптографической карты для режима IKE mode
config с помощью команды crypto dynamic-map нмя-динамнч-карты дннамич-
порядк-иомер. Эта команда открывает режим config-dynamic-crypto-map.
Шаг 4. Настройка параметров динамической криптографической карты с последую-
последующим выходом из соответствующего режима. Для записей динамической крип-
криптографической карты потребуется только команда set transform-set.
662 Часть VI. Виртуальные частные сети, использующие IPSec

Шаг 5. Настройка режима IKE mode config на инициирование и/или ответ с помощью
команды crypto map имя client-configuration address {initiate | respond}.
Шаг 6. Связывание динамической криптографической карты, использующей режим
IKE mode config, с глобальной криптографической картой IPSec с помощью
команды crypto map имя-карты порядк-иомер ipsec-isakmp [dynamic имя-
диигшич-карты].
Шаг 7. Применение криптографической карты к интерфейсу посредством перехода в
режим конфигурации интерфейса и ввода команды crypto map имя-карты.
В примере 18.25 показан вариант конфигурации режима IKE mode config в мар-
маршрутизаторе Cisco.
Пример 18.25. Конфигурация режима IKE mode config
fa/..V%s в маршрутизаторе ..(Cisco . -tr:. ¦.
crypto ipsec transform-set mysetl esp-3des esp-md5-hmac
crypto isakmp client-config address-pool local sitelclients
crypto dynamic-map dynomodecfg 1
set transform-set mysetl
crypto map modecfg client-configuration address initiate
crypto map modecfg client-configuration address respond
crypto map modecfg 1 ipsec-isakmp dynamic dynomodecfg
ip local pool sitelclients 10.1.1.1 10.1.1.254
Настройка режима IKE mode config в брандмауэре PIX Firewall
Настройка режима IKE mode config в брандмауэре PIX Firewall выполняется после
настройки IKE.
Шаг 1. Определение пула IP-адресов с помощью команды ip local pool имя-пула иа-
чальиый-адрес [коиечиый-адрес].
Шаг 2. Создание ссылки на пул локальных адресов в конфигурации IKE с помощью ко-
команды isakmp client configuration address-pool local имя-пула [имя-интерфейса].
Шаг 3. Создание динамической криптографической карты для режима IKE mode config с
помощью команды crypto dynamic-map имя-дииамич-карты дииамич-порядк-иомер.
Шаг 4. Настройка параметров динамической криптографической карты с помощью
команды crypto dynamic-map имя-дииамич-карты дииамич-порядк-иомер set
transform-set имя-иабора1 [имя-иабора9]. Дополнительно можно указать и
другие команды динамической карты (например, match address).
Шаг 5. Определение криптографической карты для настройки клиентов с помощью ко-
команды crypto map имя-карты client configuration address {initiate | respond}.
Шаг 6. Связывание динамической криптографической карты, использующей режим IKE
mode config, с глобальной криптографической картой IPSec с помощью команды
crypto map имя-карты порядк-иомер ipsec-isakmp [dynamic имя-дииамич-карты].
Шаг 7. Применение криптографической карты к интерфейсу путем ввода команды
crypto map имя-карты interface имя-иитерфейса.
Глава 18. Масштабирование сетей IPSec 663

В примере 18.26 представлена часть команд конфигурации брандмауэра PIX Firewall,
настроенного как устанавливать IP-адреса для клиентов, так и отвечать на запросы IP-
адресов от клиентов, пакеты которых прибывают на внешний интерфейс, использующий
динамическую криптографическую карту без явно описанного адреса удаленной стороны.
Пример 18.26. Использование динамической криптографической карты
' . -¦ без явного указания удаленной стороны . ¦'*
ip local pool remoteclient 172.30.1.1-172.30.1.254
crypto isakmp client configuration address-pool local remoteclient outside:
crypto ipsec transform-set pc esp-des esp-md5-hmac
crypto dynamic-map dyno 10
set transform-set pc
crypto map dyno client configuration address initiate
crypto map dyno client configuration address respond
crypto map dynmap 10 ipsec-isakmp dynamic dyno
crypto map dynmap interface outside
Настройка расширенной аутентификации IPSec
Брандмауэр PIX Firewall поддерживает возможности расширенной аутентификации
(Xauth) в рамках протокола IKE. Средства Xauth в сети VPN позволяют использовать
сервис аутентификации пользователя с помощью удаленной базы данных защиты
TACACS+ или RADIUS. Эти средства предназначены для клиентов VPN. Аутентифика-
Аутентификация пользователя выполняется с помощью запроса имени и пароля пользователя и
сравнения введенных пользователем данных с информацией, хранящейся в базе данных
TACACS+ или RADIUS. Параметры Xauth устанавливаются между первой фазой IKE
(фаза аутентификации устройства IKE) и второй фазой IKE (фаза согласования ассо-
ассоциаций защиты IPSec). Если процесс согласования параметров Xauth завершается ава-
аварийно, ассоциации защиты IPSec не создаются, а ассоциации защиты IKE удаляются.
Настройка средств расширенной аутентификации IPSec
в брандмауэре PIX Firewall
Чтобы активизировать возможности Xauth в брандмауэре PIX Firewall, после на-
настройки параметров IKE выполните следующие действия.
Шаг 1. Установите базовый сервер ААА с помощью команды aaa-server тег_группы
(имя_иитерфейса) host ip-сервера ключ.
Шаг 2. Активизируйте возможности Xauth с помощью команды crypto map имя-карты
client authentication тег-группы-аа&. Убедитесь в том, что вы указали в ко-
команде crypto map client authentication тот же тег группы сервера ААА, что и
в команде aaa-server.
Шаг 3. Можно также разрешить брандмауэру PIX Firewall не использовать сервис
XAuth для удаленных клиентов IPSec, не требующих аутентификации Xauth,
но использующих совместно тот же интерфейс, что и клиенты VPN. Если
брандмауэр PIX Firewall настроен на использование заранее согласованных
общих ключей, то, чтобы указать исключения Xauth, воспользуйтесь командой
664 Часть VI. Виртуальные частные сети, использующие IPSec

isakmp key строка-ключа address ip-адрес [no-xauth]. Если брандмауэр PIX
Firewall настроен на использование подписей RSA, то для тех же целей следу-
следует воспользоваться командой isakmp peer fqdn fqdn [no-xauth].
В примере 18.27 представлена часть команд конфигурации брандмауэра PIX
Firewall, настроенного на аутентификацию клиентов VPN средствами XAuth с помо-
помощью сервера защиты TACACS+ с адресом 10.1.1.4.
I Пример 18.27. Настройка брандмауэра PIX Firewall.на аутентификацию! *'"'
;' ."J%yt^.y. клиентов VPN средствами XAiith с помощью сервера " ¦¦"*¦•: -i
"¦¦¦•¦¦" защитыTACACS+'. ¦ г"' ¦ '^^.j^'" V*
aaa-server TACACS+ outside host 10.1.1.4 secretl23
crypto map mymap client authentication TACACS+
isakmp key ciscol234 address 172.16.2.2 255.255.255.255 no-xauth
isakmp peer fqdn site2.xyz.com no-xauth
Брандмауэр PIX Firewall не будет применять средства XAuth для клиентов IPSec,
использующих общие ключи и имеющих адрес 172.16.2.2 или использующих подписи
RSA и имеющих полностью определенное доменное имя site2.xyz.com.
Настройка средств распознавания конечных
точек туннелей
Динамическое распознавание конечных точек туннелей — сервис TED (Tunnel
Endpoint Discovery) — является дополнительной возможностью IPSec, позволяющей
маршрутизаторам Cisco, настроенным с помощью динамических криптографических
карт, инициировать сеансы IPSec со сторонами, параметры которых не были заранее
указаны в конфигурации.
Сервис TED оказывается полезным в больших сетях IPSec со сложной топологией,
имеющих множество узлов, которым требуется создать ассоциации защиты друг с
другом. С помощью TED сети IPSec можно масштабировать в условиях очень слож-
сложной топологии, не имея заранее заданных настроек для всех возможных сторон IPSec
в криптографических картах каждого маршрутизатора сети.
Сервис TED расширяет возможности динамических криптографических карт, по-
позволяя любому устройству с поддерживающей сервис TED динамической криптогра-
криптографической картой установить ассоциацию защиты IPSec со стороной, которая не была
определена в криптографической карте.
Сервис TED использует метод отправки зондирующего сообщения инициатором связи,
чтобы выяснить, какая из сторон IPSec отвечает за хост-адресат или подсеть. После выяс-
выяснения адреса соответствующей стороны инициатор начинает с ней обычный обмен первой
фазы IKE (основной режим). Зондирующее сообщение TED является специальным паке-
пакетом IKE (UDP-порт 500), посылаемым инициирующей стороной в направлении сети на-
назначения или хоста, которому направлялся исходный трафик в соответствии с указаниями
в списке шифрованного доступа Маршрутизатор удаленной стороны распознает зонд TED
и, вместо того чтобы передать зондирующее сообщение фактическому адресату, возвраща-
возвращает свой адрес в качестве конечной точки туннеля адресата. Отвечающая сторона также уз-
узнает из зондирующего сообщения адрес инициирующей стороны.
Глава 18. Масштабирование сетей IPSec 665

Средства TED имеют следующие ограничения.
• Они доступны только при использовании динамических криптографических карт.
• Для сторон, использующих сервис TED, недоступны средства выравнивания
нагрузки.
Чтобы создать запись динамической криптографической карты, использующей
TED, воспользуйтесь следующими командами режима глобальной конфигурации.
Шаг 1. Настройте динамическую криптографическую карту, которая будет использо-
использовать TED, с помощью команды crypto dynamic-map имя-динамич-карты динамич-
порядк-иомер. Эта команда открывает режим config-dynamic-crypto-map.
Шаг 2. Настройте параметры динамической криптографической карты, а затем выйдите
из соответствующего режима. Укажите набор преобразований с помощью команды
set transform-set и список доступа с помощью команды match address.
Шаг 3. Добавьте динамическую криптографическую карту в набор статических крип-
криптографических карт с помощью команды crypto map имя-карты порядк-ноыер
ipsec-isakmp dynamic имя-дииамич-карты [discover]. Ключевое слово discover
активизирует сервис TED.
В примере 18.28 показана конфигурация маршрутизатора Cisco, настроенного на
использование TED для трафика, исходящего от сети 10.1.0.0 за маршрутизатором и
направленного в адрес сети 10.2.0.0 неизвестного маршрутизатора удаленной стороны.
1ример 18.28. Конфигурация маршрутизатора Cisco, настроенного
на использование TED
EL ¦-- - - '¦-¦ - ¦-"-—- '-• --
interface Serial 0
crypto map ted
crypto ipsec transform-set mysetl esp-3des esp-md5-hmac
crypto dynamic-map probe 1
set transform mymapl
match address 103
crypto map ted 1 ipsec-isakmp dynamic probe discover
access-list 103 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255
Резюме
В этом разделе кратко представлены вопросы, рассмотренные в данной главе.
• Использование серверов СА (сервер сертификации) открывает возможности
масштабирования сетей IPSec с помощью надежного гаранта аутентификации
сторон IPSec в процессе обмена IKE, исключающего необходимость настройки
параметров ключей сообщающихся сторон вручную.
• Серверы СА предлагаются производителями средств сетевой защиты в виде
программного обеспечения, приобретаемого, устанавливаемого и управляемого
конечным пользователем, или управляемого сервиса, на предоставление кото-
которого конечный пользователь может оформить подписку.
• Большинство шагов настройки маршрутизаторов Cisco и брандмауэров PIX
Firewall для поддержки сервера СА соответствуют действиям, выполняемым при
666 Часть VI. Виртуальные частные сети, использующие IPSec

настройке средств поддержки общих ключей, но некоторые действия, которые
касаются планирования настроек СА и непосредственно настройки средств
поддержки СА, а также настройки IKE для аутентификации с помощью подпи-
подписей RSA, являются уникальными для данного процесса.
• Параметры сервера СА необходимо внести в конфигурацию до начала процеду-
процедуры настройки IKE.
• Устройства Cisco должны зарегистрироваться в сервере СА с помощью прото-
протокола SCEP, предназначенного для автоматизации процесса регистрации СА.
• Для каждого сервера СА, поддерживающего устройства IPSec компании Cisco, про-
процесс конфигурации соответствующих устройств будет иметь свои особенности.
• При использовании поддержки сервера СА одновременно в маршрутизаторах
Cisco и брандмауэре PIX Firewall применяйте метод аутентификации IKE с по-
помощью подписей RSA.
• Процесс настройки IPSec в данном случае ничем не отличается от описанного
в предыдущих главах процесса настройки IPSec для работы с общими ключами
или шифрованными оказиями.
• Маршрутизаторы Cisco и брандмауэры PIX Firewall поддерживают возможности
удаленного доступа, включая динамические криптографические карты, расши-
расширенную аутентификацию и режим IKE mode config.
• Маршрутизаторы Cisco поддерживают средства распознавания конечных точек
туннелей, которые могут упростить процесс создания сложных сетей VPN на
базе IPSec.
Контрольные вопросы
Ответьте на следующие вопросы, касающиеся некоторых ключевых фактов и поня-
понятий, рассмотренных в этой главе.
1. Каковы преимущества использования сервера САдля аутентификации сторон IPSec?
2. Какие поставщики предлагают серверы СА в виде программного обеспечения, кото-
которое устанавливается и управляется конечным пользователем и способно взаимодейст-
взаимодействовать с устройствами VPN компании Cisco в рамках протокола SCEP?
3. Какой метод аутентификации IKE используется для поддержки СА?
4. Как увидеть информацию о сертификатах СА в конфигурации маршрутизатора?
5. Требуется ли для поддержки сервера СА какая-то специальная конфигурация IPSec?
6. Когда обязательно нужно использовать динамические криптографические карты?
7. Какова общая процедура настройки динамических криптографических карт в
брандмауэре PIX Firewall?
8. Когда следует использовать режим IKE mode config?
9. Насколько полезной оказывается расширенная аутентификация IKE в условиях
топологии удаленного доступа, инициатором которой выступает клиент VPN?
10. Какая команда используется для настройки возможностей распознавания конеч-
конечных точек туннелей?
Глава 18. Масштабирование сетей IPSec 667

Ссылки
Темы, рассмотренные в этой главе, достаточно сложны, поэтому для более полного
их понимания и применения приобретенных знаний на практике требуется более глу-
глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о сути про-
проблем, обсуждавшихся в этой главе.
Стандарты СА и соответствующие обзоры
"Certificate Authority Support for IPSec Overview", November, 1999. "Белая книга" Cisco,
доступна по адресу: www.cisco.com/warp/public/cc/cisco/mkt/security/encryp/prodlit/821_pp.htm.
"Cisco Systems' Simple Certificate Enrollment Protocol", January, 2000. "Белая книга"
Cisco, доступна по адресу: www.cisco.com/warp/public/cc/cisco/mkt/securily/tech/scep_wp.htm.
Настройка СА в рамках Cisco IOS Software
Cisco IOS Security Configuration Guide, Release 12.1. В главе "Configuring Certification
Authority Interoperability" этого руководства предлагается обзор возможностей на-
настройки средств поддержки сервера СА для маршрутизаторов Cisco.
Cisco IOS Security Command Reference, Release 12.1. В главе "Certification Authority
Interoperability Commands" этого руководства описываются команды, используемые
для настройки средств поддержки сервера СА в маршрутизаторах Cisco.
Поддержка сервера СА для брандмауэра
PIX Firewall
Для выяснения подробностей, касающихся настройки средств поддержки сервера
СА в рамках IPSec для брандмауэра PIX Firewall, обратитесь к руководству Configura-
Configuration Guide for the PIX Firewall, Version 5.1. Наиболее информативными являются сле-
следующие главы этого руководства.
• Configuring IPSec. Предлагает обзор возможностей настройки поддержки серве-
сервера СА в рамках IPSec и описания соответствующих процедур настройки.
• Command Reference. Содержит подробные описания команд брандмауэра PIX
Firewall.
• Configuration Examples. Предлагает примеры конфигурации IPSec для брандмау-
брандмауэра PIX Firewall с поддержкой сервера СА.
Стандарты IPSec и документы RFC
draft-nourse-scep-02.txt. Xiaoyi Liu, Cheryl Madson, David McGrew and Andrew
Nourse. Cisco Systems' Simple Certificate Enrollment Protocol (SCEP), February, 2000.
RFC 2314. Kaliski B. PKCS #10: Certification Request Syntax Version 1.5, March, 1998.
RFC 2315. Kaliski B. PKCS #7: Cryptographic Message Syntax Version 1.5, March, 1998.
RFC 2459. Housley R., Ford W., Polk W., and Solo D. Internet X.509 Public Key Infra-
Infrastructure Certificate and CRL Profile, January, 1999.
668 Часть VI. Виртуальные частные сети, использующие IPSec

Программа поддержки безопасности
Указанный ниже адрес URL создан в рамках программы поддержки безопасности
(Security Associates Program). Здесь представлен список продуктов PKI и СА, совмес-
совместимых с продуктами Cisco. Для доступа к этому адресу требуется ввести имя пользова-
пользователя и пароль ССО: www.cisco.com/warp/customer/cc/so/neso/sqso/csap/index.shtml.
Глава 18. Масштабирование сетей IPSec 669

Часть
VII
Приложения
Приложение А. Структура сети компании XYZ
Приложение Б. Политика сетевой защиты компании XYZ
Приложение В. Настройка стандартных и расширенных списков,
Приложение Г, Ответы на контрольные вопросы
Л.»

т,. '¦¦;.,
ш
'К?
V"
•3 & ;ЯП-'
i#l
tW'
-Wm
w
44
¦'*¦' •'?'&

Приложение
А
Структура сети компании XYZ
Описываемая в этом приложении структура сети компании XYZ используется во
^ книги, чтобы можно было связать в одно целое те принципы защиты и
гариат||§|||реализации, которые вы изучите. Все IP-адреса и сетевые устройства, для
^Щкразработаны примеры практических занятий, соответствуют тем, кото-
приложении.
предлагается описание структуры гипотетической компании XYZ.
состояние сети, до того как компания начала в плановом
етоды сетевой защиты. В каждой главе книги объясняется, как
_, звать «конкретрые технологии сетевой защиты Cisco, чтобы сеть компании XYZ
f от главы,к;главе стаЩвилась все более защищенной.
%А В конце приложениа показана схема защищенной сети компании XYZ, полученная в
ч^результате^ализацщ предлагаемых в книге технологий защиты. В описании модели сети
^компании ~ЩХ испоиьзуются ссылки на реальное сетевое оборудование Cisco, применяе-
применяема практйчески^анятиях в рамках курса MCNS (Управление защитой сетей Cisco).
%¦ Щ If
бщая характеристика компании XYZ
рСомпани^ ХУЯявляетря одной из растущих компаний Силиконовой Долины. Ис-
торически^бжилЙсь так,.что сетевая среда компании была полностью открытой: она
&' полныйаостую!;; ко всем сетевым ресурсам. Недавно, как было обнаружено
фи (ИС) й
информа
тевь|| вторжений.
Теперь комп
^ своих с
ко
ных систем (ИС), компания стала жертвой многочисленных се-
Щ
Щ
анией J-
опознает, что ее сеть уязвима, поэтому она готова потратить
о, чтобы с помощью средств сетевой защиты, предлагаемых
ЦГечить себе безопасную работу в сети. Компания XYZ уже яв-
.1яеЦя лорЖточно Шстивным потребителем продукции Cisco, а сеть компании по-
стро|нদ¦на использовании стека протоколов TCP/IP. В защите нуждаются три струк-
сегмента сейр— территориальная сеть, удаленный доступ и доступ к Internet.
^Компания Х^ПСШтла бы ограничить доступ внутренних и внешних пользователей к
важным данным|на серверах, контролировать исходящий трафик, усовершенствовать
систему аВ|||рйзгрии, аутентификации и практику сетевого аудита. Управление компа-
компании инф^мирдвано о возможностях IPSec и сетях VPN (Virtual Private Network — вир-
частрая сеть). Им требуется квалифицированная консультация по поводу того,
цировать угрозы нарушения защиты сети и выбрать соответствующую по-
йитику задциты, а также необходима экспертиза конфигурации сети с точки зрения воз-
возможности применения решений защиты, предлагаемых компанией Cisco.

Отдел информационных систем отвечает за работу сети всей компании. Приложе-
Приложения территориальной сети и файловые серверы размещаются на серверах Windows
NT, которые доступны всем подразделениям компании (включая подразделения раз-
разработки и сбыта) и связаны с сетями партнеров. Отдел информационных систем ис-
использует систему сетевого управления на базе сервера Windows NT и соответствующее
программное обеспечение сетевого управления. В рамках территориальной сети ис-
используются маршрутизаторы Cisco и коммутаторы Ethernet.
Компания XYZ намеревается Офаничить доступ внутренних и внешних пользователей
к важным данным, размещенным на серверах подсетей разработки и сбыта, поскольку ру-
руководство обеспокоено тем, что к данным этих серверов могут получить несанкциониро-
несанкционированный доступ посторонние лица. На рис. АЛ показана схема сети компании до примене-
применения технологий защиты Cisco. Как видно из схемы, не были задействованы даже настрой-
настройки маршрутизатора, обеспечивающие защиту внутренней сети.
ДМЗ
Удаленное
подразделение
Маршрутизатор
периметра
стионный Бастионный
узел
Маршрутизатор
территориальной
сети
Сервер
Удаленный сетевого
клиент доступа
Клиент Сервер
Маршрутизатор
территориальной
сети
Сервер
Удаленный сетевого
клиент доступа
Удаленный
доступ
Клиент
СерверWeb Сервер Сервер
SMTP DNS
Рис. А. 1. Схема сети компании XYZ в ее исходном незащищенном состоянии
674
Часть VII. Приложения

Удаленный доступ
Компания XYZ имеет небольшую группу мобильных пользователей (это представители
подразделения сбыта и системные инженеры), использующих портативные компьютеры с
установленными системами Windows 95/NT. Этим пользователям требуется доступ к сер-
серверам соответствующих подразделений. Некоторым служащим регулярно необходим дис-
дистанционный доступ к сети компании со своих компьютеров с установленными на них сис-
системами Windows 95/NT. Кроме того, компания имеет несколько удаленных филиалов, в
которых установлены маршрутизаторы Cisco 1720, использующие маршрутизацию по за-
запросу для связи с территориальной сетью головного офиса. Компания планирует разре-
разрешить подключение к территориальной сети и поставщикам, разрешив им удаленный дос-
доступ к сети подразделения разработки. Для управления удаленным доступом компания XYZ
использует серверы сетевого доступа Cisco 3640, связанные с коммутаторами Ethernet се-
серии Catalyst и маршрутизаторами Cisco 4700 территориальной сети.
Компания XYZ обеспокоена тем, что через серверы сетевого доступа несанкцио-
несанкционированный удаленный доступ к сети могли получать посторонние лица. Руководство
компании хотело бы контролировать удаленный доступ к сети, который в настоящий
момент неуправляем.
Доступ к Internet
Компания XYZ имеет скоростное соединение с сетью поставщика услуг Internet (ISP).
Линия ISP соединена с маршрутизатором периметра Cisco 1720 территориальной сети.
Внешними пользователями Internet являются клиенты компании и служащие, получаю-
получающие доступ к корпоративному бастионному узлу, на котором имеется сервер Web (с ин-
информацией о продуктах компании) и сервер FTP (содержащий демонстрационное про-
программное обеспечение и документацию соответствующих продуктов). Цель компании —
ограничить внешний доступ из Internet к бастионному узлу. Внутренними пользователями
Internet являются служащие, которым доступ к Internet необходим для исследований. Ком-
Компания намеревается разрешить своим служащим неограниченный доступ к Internet. Внут-
Внутренние и внешние пользователи имеют возможность обмениваться сообщениями элек-
электронной почты, однако ввиду того, что присоединенные к сообщениям файлы и непрове-
непроверенные приложения могут являться источником проблем, компания хотела бы иметь более
совершенные средства управления трафиком SMTP.
Специалисты компании XYZ подозревают, хотя и не имеют пока неоспоримых до-
доказательств, что недоброжелательно настроенные лица получали доступ к сети компа-
компании через Internet. Web-узел компании был варварски разрушен. Настройки маршру-
маршрутизатора связи с Internet в результате атаки были изменены так, что легальные поль-
пользователи не могли получить доступ к Internet вообще.
Подразделения компании
В использовании и защите сети заинтересованы три подразделения компании, а
именно: подразделения информационных систем, разработки и сбыта.
Подразделение информационных систем
Данное подразделение имеет один сервер Windows NT, который является центром
сетевого управления. Это подразделение отвечает за административный контроль и
Приложение А. Структура сети компании XYZ 675

общее функционирование сети, серверов и рабочих станций, имея доступ ко всем се-
сетевым устройствам через Telnet.
Подразделение сбыта
Структура подсети сбыта имеет следующие характеристики.
• Рабочие станции подсети функционируют под управлением Windows 95/NT.
• Мобильные торговые представители и инженеры подразделения сбыта исполь-
используют портативные компьютеры с установленными системами Windows 95.
• Удаленные филиалы для доступа к территориальной сети головного офиса при-
применяют маршрутизаторы Cisco 1720 и маршрутизацию по запросу.
• Приложения поддержки продаж, базы данных сбыта и файловый сервер разме-
размещены на сервере Windows NT.
• Удаленные пользователи получают доступ к серверу сетевого доступа Cisco 3640
с помощью модемов и аналоговых линий удаленного доступа.
• Подразделение сбыта связано с остальной частью территориальной сети через
коммутатор Ethernet типа Catalyst и порт Ethernet маршрутизатора Cisco 4700.
• Служащим этого подразделения необходимо иметь доступ только к своим сер-
серверам Windows NT.
Подразделение разработки
Структура подсети отдела разработок имеет следующие характеристики.
• Рабочие станции подсети функционируют под управлением UNIX или
Windows NT.
• Инженеры, которым требуется дистанционный доступ к сети компании, имеют
как обычные персональные, так и мобильные компьютеры с установленными
на них системами Windows NT.
• Удаленные пользователи получают доступ к серверу сетевого доступа Cisco 3640
с помощью модемов и аналоговых линий удаленного доступа.
• Подразделение разработки имеет свои серверы Windows NT с информацией о
разрабатываемых продуктах, доступ к которой для других пользователей должен
быть закрыт.
• Подразделение разработки связано с остальной частью территориальной сети че-
через коммутатор Ethernet типа Catalyst и порт Ethernet маршрутизатора Cisco 4700.
Цели сетевой защиты компании XYZ
На основе применения технологий защиты Cisco компания XYZ в конечном счете
хотела бы обезопасить свою сетевую среду. Она надеется получить в свое распоряже-
распоряжение защищенную сеть, подобную показанной на рис. А.2
Компания XYZ имеет удаленный сегмент сети, который является почти зеркаль-
зеркальным образом основной части корпоративной сети, но с другими IP-адресами. Топо-
Топология этой защищенной сети показана на рис. А.З.
676 Часть VII. Приложения

s0172.16.1.1 "Грязная"
.2e1 192.168.1.0/24 ДМЗ
Удаленное
подразделение
172.16.2.1
Маршрутизатор
периметра
Web-сервер Обозреватель Сервер
.1еО
172
Internet Web сертификации cDaHI1Mav3D pi
1.16.1.20 192.168.255.2 ьРанДмауэрР1
I
Г4
Бастионный Бастионный Сенсор
узел узел CiscoSecure
< о IDS
lj1e2 192.168.11.0/24
.4 Защищенная
ДМЗ
Бастионный Бастионный
узел узел
Маршрутизатор
территориальной
сети
Клиент Сервер
Удаленный
доступ щм»
Сервер
Удаленный сетевого
клиент доступа
CepeepCiscoSecureACS, Сервер Сервер
Web,FTP,TFTP,syslog SMTP DNS ^ m
CiscoSecure
IDS
Рис. А.2. Защищенная сеть компании XYZ
Приложение А. Структура сети компании XYZ
677

SO 172.16.2.1
.2е1 192.168.2.0
"Грязная"
ДМЗ
Удаленное
подразделение
172.16.1.1
Маршрутизатор
периметра
.1еО
Web-сервер Обозреватель Сервер
Internet Web сертификации с„о„п.,„„ olv,
172.16.1.20 192.168.255.2 Брандмауэр PIXi
.Зе1
й
Бастионный Бастионный Сенсор
узел узел CiscoSecure
.4 Защищенная
ДМЗ
Бастионный Бастионный
узел узел
Маршрутизатор
территориальной
сети
Клиент Сервер
Удаленный
доступ
Сервер
Удаленный сетевого
клиент доступа
Г-Ж353?
CiscoSecure
IDS
Рис. А.З. Удаленный сегмент сети компании XYZ, являющийся зеркальным образом корпоративной сети
678
Часть VII. Приложения

Приложение
Б
Политика сетевой защиты
компании XYZ
В дайной^ приложении предлагается пример политики сетевой защиты компании
«л^Тр|ровййия политики отражают конечные цели, которые должны быть достиг-
достигнуты с"та?мощЙ0 создаваемой системы сетевой безопасности. Предлагаемая здесь по-
политика за3даыйв|шется просто примером и не может быть ни объектом для критики,
-**Н1адэототтом|М|||тики защиты реального предприятия.
Распределение полномочий и сфер
6;Каждь1й слу)||щий2 как:зарегистрированный пользователь внутренней сети XYZ, име-
Щт свои правачд6ступа к информации. Чтобы способствовать обеспечению сетевой
&§зопасности%1рлост1юсти информации, каждый пользователь должен подчиняться
ебованиям п|1ЙитикиШщиты. Компания XYZ следует принципу "необходимого зна-
ния", сознательно избегая предоставления служащему информации, которая не тре-
требуется дпя^Шпошенм|^9ГО работы.
значена политика
Подитика разрабо^на дая следующих категорий служащих:
пользователи сети, которые должны действовать в соответствии с политикой защиты;
ддержки систем, который реализует требования политики за-
Гет ее поддержку;
ре компетенции которых находится защита данных и связанные
:одьШ
•;| управление'компании, желающее обеспечить целостность сети наряду с простотой
" ее использования и минимальными расходами на ее содержание;
юристы и аудиТ0Ры компании, которые должны быть заинтересованы в поддержке
высокой репутации компании.

Область действия политики защиты
Данная политика являатся составной частью документа болаа высокого уровня
("Общиа требования базопасности компании XYZ"), в котором определяются задачи и
общая структура систамы базопасности компании XYZ. Данная политика рагламанти-
руат возможности интерактивного доступа к корпоративной информации для служа-
служащих компании и аа субподрядчиков, а такжа для других лиц, включая даловых парт-
наров, диларов и клиантов.
Лица, уполномоченные контролировать политику сетевой защиты
Собранна акционаров наделяат правланиа компании и руководиталай высшаго звана
управлания всами полномочиями, необходимыми для разработки, раализации, вна-
драния и осущаствлания дальнайшай поддаржки политики защиты в соотватствии с
дайствующими мастными, национальными и международными законами. Отватствен-
ность за внадраниа политики защиты несут руководители отдала информационной
базопасности и юридического отдале компении XYZ.
Заинтересованные стороны
Все пользоветели сети компении XYZ, системные администреторы и персонел соот-
соответствующих служб сопровождения должны окезыветь содействие в сохренении кек
целостности корпоретивной сети и ее вычислительных ресурсов, тек и целостности и
конфиденциельности информеции, обребетывеемой этими ресурсами.
Ответственность зе резреботку, поддержку и реелизецию политики сетевой зещиты
возлегеется не:
• вице-президенте компении по вопросем информеционных систем и руководителя
отделения информеционных систем;
• вице-президенте компении по вопросем резреботок;
• вице-президенте компении по вопросем меркетинге и сбыте;
• руководителя отделе информеционной безопесности;
• директоре отделе сетей и телекоммуникеций отделения информеционных систем;
• стершего менеджере отделе эксплуетеции отделения информеционных систем;
• диспетчере службы упревления корпореции;
• юридического представителя корпореции.
Обязанности системного администратора
В обязенности системных администреторов сетевого оборудовения и многопользове-
тельских узлов еходит реелизеция следующих требовений.
• Учетные зеписи должны создеветься только для индивидуельных лиц.
• Внутри компении XYZ учетные имене и другие зевисящие от системы представления
учетных зеписей пользоветелей (непример, универсальные идентификаторы UNIX)
должны быть глобально уникальными (с идентификатором "petrov" должен ессоцииро-
веться только один пользоветаль во всей компении). Если одно учетное имя использу-
используется срезу не нескольких узлех, это имя должно представлять одно и то же лицо.
• Прогреммные зеплеты зещиты и обновленные обрезы систем сетевого оборудо-
оборудовения, рекомендуемые уполномоченным предстевителем отделения информеци-
682 Часть VII. Приложения

онной безопасности, должны устанавливаться на приоритетной основе с учетом
важности таких обновлений.
• Система управления именами и паролями пользователей должна строиться в со-
соответствии с требованиями данной политики сетевой защиты.
• Недействительные учетные записи пользователей должны ликвидироваться.
• Системные файлы конфигурации должны храниться на защищенном TFTP-
сервере. Совместный доступ к этим файлам должен быть запрещен, и они не
должны быть общедоступными. Для доступа к соответствующему TFTP-хосту со
стороны маршрутизаторов Cisco желательно использовать возможности гср, за-
защищенные средствами Kerberos.
• Файлы системного журнала должны анализироваться ежедневно. О признаках
серьезных инцидентов защиты необходимо немедленно сообщать ответственному
представителю отдела информационной безопасности. Отчеты о незначительных
нарушениях (например, о многочисленных аварийно завершенных попытках входа
в систему) следует направлять в отдел информационной безопасности не реже
одного раза в неделю.
• Следует активно и регулярно использовать специальные средства управления се-
сетевой защитой, разработанные в помощь системным администраторам для выяв-
выявления ненадежных паролей и точек уязвимости, а также проверки целостности
конфигурвции системы и файлов (такими средствами являются, например,
CiscoSecure Scanner, система обнаружения вторжений CiscoSecure IDS, Cisco
Netsys, Crack, COPS, Tyger и Tripwire).
Процедура сопровождения политики защиты
Заинтересованные лица компании должны пересматривать и обновлять политику за-
защиты не реже одного раза в год.
Под руководством уполномоченного представителя отдела информационной безо-
безопасности отделение информационных систем без предварительного объявления
должно проводить внеплановые проверки системы защиты, результаты которых
должны представляться в виде отчета.
Процедура реализации
Директор отдела сетей и телекоммуникаций несет ответственность за разработку проекта
структуры сети, в котором должны быть указаны точная топология сети и сетевое оборудо-
оборудование, необходимые для того, чтобы реализовать политику сетевой защиты.
После подключения к сети нового оборудования и систем необходимо проверять, со-
соответствуют ли они и их настройки данной политике защиты.
Обучение пользователей
Знакомство с политикой защиты и ее поддержка должны стать частью служебной полити-
политики. Одним из условий работы в компании должно быть ежегодное письменное подтвер-
подтверждение служащими согласия с политикой приемлемого использования сетевых ресурсов.
Информирование служащих о методах психологической разведки
Служащие компании должны проявлять осторожность, обсуждая деловые вопросы с
лицами, не являющимися работниками компании. Убедитесь в целесообразности та-
такого обсуждения, прежде чем сообщать о принципах ведения дел в компании.
Приложение Б. Политика сетевой защиты компании XYZ 683

Политика приемлемого
использования сетевых ресурсов
Политика приемлемого использования сетевых ресурсов определяет то, что компания
считает приемлемым (и неприемлемым) при внутреннем и внешнем доступе, при ис-
использовании программного обеспечения и аппаратных средств с учетом дополни-
дополнительных ограничений, накладываемых общегосударственными или местными закона-
законами и правовыми актами.
Приемлемое использование ресурсов сети
Отдельные служащие и подразделения внутри компании XYZ, отвечающие за под-
поддержку связи между сетью компании XYZ и сетями других субъектов деловой активно-
активности, должны принять меры, которые сводили бы к минимуму риск нарушения системы
информационной безопасности компании.
Неприемлемое использование ресурсов сети
Пользователям, не являющимся системными администраторами, не разрешается иметь
доступ к файлам конфигурации системы (например, к файлам конфигурации маршрутиза-
маршрутизаторов или /etc/passwd) и копировать их с сетевого оборудования или сетевых серверов.
Пользователям не разрешается получать (и пытаться получать) доступ EXEC и кор-
корневой доступ (или эквивалентный вид доступа) к сетевому оборудованию и узлам, ко-
которые формируют сеть и инфраструктуру информационной системы компании XYZ,
если в их служебные обязанности это не входит.
Требование соответствия
Пользователи должны действовать в соответствии с директивами данной политики защи-
защиты, а также ее будущих изменений или дополнений. Доступ к инфраструктуре сети компа-
компании и ее данным является привилегией, связываемой с работой в компании, а не правом
пользователя. Как таковая, компания имеет право изменить привилегии доступа пользова-
пользователя по собственному усмотрению и в любой момент. Отказ подчиниться требованиям
компании в сфере использования инфраструктуры данных может повлечь за собой нака-
наказание в виде дисциплинарного взыскания вплоть до увольнения служащего.
Политика идентификации
и аутентификации
Политика идентификации и аутентификации определяет технические возможности и
процедуры, используемые для идентификации и авторизации доступа.
Управление паролями
При выборе и использовании паролей необходимо учитывать следующие рекомендации.
• Пароли, если это возможно, должны состоять из нескольких слов со знаками как верх-
верхнего, так и нижнего регистров, включать специальные символы и цифры и содержать
не менее восьми символов (например, deltA9Cog, china&fish или mn7w00deN).
• Пароль следует менять ежеквартально (т.е. каждые три месяца).
684 Часть VII. Приложения

• Для каждой учетной записи, имеющейся в распоряжении пользователя, должен
выбираться отдельный уникальный пароль.
• Не следует записывать пароли.
• Не следует сообщать пароли никому, даже сотрудникам.
Аутентификация пользователей
Для аутентификации пользователей компания XYZ собирается использовать удален-
удаленную базу данных защиты с применением протокола TACACS+.
Политика доступа к Internet
Компания XYZ осознает, что Internet является важной составляющей бизнеса, но это
повышает риск нарушения защиты. Политика доступа к Internet определяет следую-
следующие принципы управления таким доступом.
Приемлемое использование Internet
Исходящий доступ к Internet может свободно использоваться служащими в интересах
компании. Удаленные пользователи компании тоже имеют право на такой доступ. При
этом должны быть установлены разумные ограничения на общее время сеанса и
время ожидания.
Использование брандмауэра
Чтобы исключить возможность несанкционированного доступа к территориальной се-
сети компании из Internet, необходимо использовать систему брандмауэра, состоящую,
как минимум, из маршрутизатора периметра и бастионного узла. Следует определить
правила фильтрации пакетов, чтобы контролировать доступ к сети через периметр, а
информацию о соответствующих нарушениях правил направлять серверу syslog.
Общедоступные сервисы
Входящий доступ из Internet к территориальной сети компании должен быть строго ог-
ограничен, если соответствующий поток данных через Internet не защищен шифровани-
шифрованием на сетевом уровне. Входящий доступ из Internet к бастионному узлу должен быть
ограничен для трафика электронной почты, HTTP, FTP и других аналогичных потоков.
Политика доступа
к территориальной сети
Политика доступа к территориальной сети компании определяет методику назначения
уровней доступа пользователям сети.
Доверительные отношения
Доступ к узлам территориальной сети разрешается на основе иерархии уровней до-
доверия, присваиваемых каждому служащему его менеджером. Компания XYZ стремит-
стремится к балансу между простотой доступа пользователей и надежностью защиты сети.
Приложение Б. Политика сетевой защиты компании XYZ 685

Определяется пять уровней доверия. Присваиваемый служащему уровень доверия
зависит от задач, которые ему приходится выполнять в соответствии со служебными
обязанностями. Необходимо установить и использовать технические средства для
контроля неукоснительного выполнения правил доверительных отношений.
Доступ внешних пользователей к узлам территориальной сети компании запрещается,
если только такой доступ не санкционирован специально соответствующей службой
отделения информационных систем по заявке менеджера отдела.
Защита сетевого оборудования
Доступ EXEC или корневой доступ к сетевому оборудованию запрещается всем, кро-
кроме служащих отделения информационных систем, указанных старшим менеджером
отдела эксплуатации отделения информационных систем. Для защиты особо важных
потоков данных между внутренними серверами должно использоааться шифрование
сетевого уровня.
Политика удаленного доступа
Служащие, получающие доступ к корпоративной сети компании XYZ из своих домаш-
домашних офисов и из других точек через линии удаленного доступа, должны четко пони-
понимать ответстаенность за соблюдение мер защиты, которыми сопровождаются приви-
привилегии удаленного доступа.
Удаленный доступ означает расширение внутренней сети компании XYZ, что откры-
открывает потенциальный путь доступа ко всей информации компании, аключая самую
важную и секретную. Таким образом, исключительно важно, чтобы служащие, поль-
пользующиеся привилегиями удаленного доступа, приняли все меры, гарантирующие дос-
доступ к внутренней сети только служащим компании и уполномоченным подрядчикам.
Любой компьютер, используемый для доступа к внутренней сети компании XYZ, либо
должен быть зещищен паролями, либо его конфигурация не должна позволять не-
несанкционированному пользователю запускать коммуникационные программы, ини-
инициализирующие соединение с сетью компании XYZ. Отделение информационных сис-
систем компании XYZ должно четко указать, какие механизмы или утилиты защиты фай-
файлов должны при этом использоааться, а парольная защита должна исключать
возможность обойти ее (например, с помощью перезапуска компьютера).
Устанавливаемые при удаленном доступе соединения должны аутентифицироваться
средствами TACACS+ или с помощью идентификационных карт и соответствующих
серверов.
Мобильный доступ
Служащие, которым требуется доступ к территориальной сети компании, должны по-
получать такой доступ только через серверы сетевого доступа, контролируемые отделе-
отделением информационных систем. При этом служащие должны использовать поддержи-
поддерживаемые отделением информационных систем компьютеры под управлением Windows
95, 98, 2000 или компьютеры Apple Macintosh с программным обеспечением удален-
удаленного доступа, рекомендованным отделением информационных систем.
Служащие компании XYZ и другие авторизованные стороны (в частности, дилеры и
клиенты) для доступа к корпоративной сети могут использовать удаленные соедине-
соединения. Удаленный доступ должен строго контролироваться средствами аутентификации
с применением одноразовых паролей.
686 Часть VII. Приложения

Служащие компании, которым предоставлены привилегии удаленного доступа, несут
ответственность за то, чтобы соответствующими средствами удаленного доступа к
ресурсам информационной системы компании XYZ не могли воспользоваться посто-
посторонние лица.
Домашний доступ
Служащие компании XYZ, которые предпочитают работать дома, могут использовать
удаленные соединения, связывающие их домашние компьютеры с корпоративной се-
сетью. Всегда, когда это возможно, для таких удаленных соединений с корпоративной
сетью должны использоваться средства аутентификации CHAP.
Обязательства удаленных пользователей
Пользователи, получающие привилегии удаленного доступа, должны подписать доку-
документ, в котором говорится об их понимании важности защиты информации компании
XYZ от разглашения. Документ должен также четко указывать на их согласие подчи-
подчиняться требованиям защиты, сформулированным в этом документе и документах по-
политики защиты высших уровней.
Доступ из филиалов
Чтобы обеспечить защиту корпоративной сети, все возможности удаленного доступа к
территориальной сети компании из филиалов должны получить явное одобрение от-
отделения информационных систем.
Доступ для деловых партнеров (экстрасеть)
Для обеспечения защиты корпоративной сети все возможности удаленного доступа к
территориальной сети компании со стороны деловых партнеров должны получить яв-
явное одобрение отделения информационных систем. Управление таким доступом
должно осуществляться с помощью брандмауэра.
Политика шифрования
Все транзакции удаленного доступа должны защищаться средствами шифрования.
Выбираемый алгоритм шифрования должен обеспечивать баланс между необходи-
необходимым уровнем защиты соответствующей транзакции и скоростью обработки данных.
Процедура обработки инцидентов
Стороны, заинтересованные в успешной реализации политики защиты компании XYZ,
должны разработать детальную процедуру обработки инцидентов, включающую сце-
сценарии поведения для всех возможных вариантов нарушения защиты. Процедура об-
обработки инцидентов, подобно "поваренной книге", должна гарантировать, что послед-
последствия любых инцидентов будут исправлены в самые сжатые сроки служащими отде-
отделения информационных систем на основе четкого распределения их обязанностей.
Процедура обработки инцидентов должна освещать следующие вопросы.
Система обнаружения вторжений
Чтобы обеспечить получение жизненно важной информации о состоянии периметра
защиты, следует использовать программное обеспечение обнаружения вторжений
Приложение Б. Политика сетевой защиты компании XYZ 687

(например, систему CiscoSecure IDS). Работающая в реальном масштабе времени и
предназначенная для применения в масштабах реального предприятия, система об-
обнаружения вторжений, задачей которой является выявление, регистрация и пресече-
пресечение несанкционированной активности в секторе ДМЗ ("демилитаризованная зона") пе-
периметра сети, должна предлагать следующие возможности.
• Система обнаружения вторжений должна допускать масштабирование и обладать
достаточной скоростью работы, чтобы администраторы могли централизованно
осуществлять мониторинг сетевой активности в секторе ДМЗ.
• Система обнаружения вторжений должна иметь многоуровневую иерархию, позво-
позволяющую администраторам быстро добавлять новые системы текущего контроля
по мере расширения сети.
• Центральная станция управления должна допускать дистанционное управление
конфигурацией удаленных систем через интуитивно понятный графический поль-
пользовательский интерфейс, интегрированный в систему сетевого управления, чтобы
организация имела возможность осуществлять мониторинг состояния защиты со-
соединений из единого центра. Это гарантирует согласованное применение политики
защиты в масштабах всего предприятия.
• Станция управления должна также сохранять генерируемые ею информирующие и
предупреждающие сообщения в соответствующей архивной базе данных. Инфор-
Информация о времени начала атак, об их типах, точках назначения и продолжительно-
продолжительности должна регистрироваться с целью дальнейшего анализа.
Процедура реагирования на инциденты
Детализированная процедура реагирования на инциденты должна иметь вид рабоче-
рабочего документа, созданного под руководством старшего менеджера отдела эксплуата-
эксплуатации отделения информационных систем, и должна обновляться ежеквартально или
же в недельный срок после регистрации серьезного инцидента нарушения защиты.
Соответствующий документ должен быть одобрен вице-президентом компании по во-
вопросам информационных систем и уполномоченным представителем отдела инфор-
информационной безопасности. Процедура реагирования на инциденты должна представ-
представлять собой план ответа компании на атаки, чтобы в случае возникновения инцидента
все ресурсы компании были направлены на разрешение проблемы, а не на выясне-
выяснение того, что следует предпринять. Процедура должна освещать следующие вопросы.
1. Подготовка персонала и планирование действий служащих во время инцидента. Для
служащих отдела эксплуатации отделения информационных систем должны быть
организованы занятия (не менее 16 часов в год), в ходе которых они должны нау-
научиться распознавать инциденты защиты и применять процедуру реагирования на
них. Содержащий описание процедуры документ должен также определять форму и
продолжительность подготовки.
2. Выявление инцидента. Системный администратор должен следить за сообщениями
системы обнаружения вторжений в течение всего дня, чтобы вовремя выявить инци-
инцидент. Файлы системных журналов должны проверяться ежечасно и анализироваться
в конце дня. Ответственность за выявление инцидента возлагается на старшего ад-
администратора системы, во время дежурства которого произошел инцидент. Проце-
Процедура реагирования на инциденты должна использовать уровни приоритетов инци-
инцидентов защиты в соответствии с рекомендациями, предложенными в документе
RFC 2196, "Site Security Handbook".
688 Часть VII. Приложения

3. Обработка инцидента. Процедура реагирования на инциденты защиты должна опре-
определять, как системные администраторы должны действовать в случае выявления
инцидента. Ниже предлагается список действий, которые необходимо предпринять:
• идентифицировать тип атаки и уровень приоритета;
• выяснить время начала и окончания атаки;
• идентифицировать источник атаки;
• определить компьютер или сетевые системы, которые были целью атаки;
• проследить путь атаки к ее источнику, чтобы выяснить, какие сети и вычисли-
вычислительные системы не были при этом затронуты;
• попытаться помешать успешному завершению атаки; изолировать систему, ко-
которая подверглась атаке;
• известить соответствующих ответственных лиц;
• защитить доказательства проведения атаки (например, соответствующие фай-
файлы журнала);
• восстановить работоспособность сервисов отделения информационных систем
(если это возможно).
4. Документирование инцидента и извлечение уроков. Под руководством старшего ме-
менеджера отдела эксплуатации отделения информационных систем следует подгото-
подготовить письменный отчет, в котором должна содержаться следующая информация:
• данные инвентаризации активов атакованных систем;
• описание уроков, которые можно извлечь из случившегося;
• рекомендации по пересмотру политики сетевой защиты, если это требуется;
• рекомендации по выявлению и наказанию виновных в проведении атаки.
Ответственные лица
В табл. Б.1 представлен список членов группы реагирования на инциденты, ответст-
ответственных за применение политики сетевой защиты компании в случае инцидента.
Ответственные лица
Роли
Старший системный администратор, во
время работы которого происходит ин-
инцидент
Старший менеджер отдела эксплуатации
отделения информационных систем
• Выявление инцидента защиты и принятие соответствующих мер
• Составление отчета об инциденте
• Главное координирующее лицо
• Определение способа реагирования на инцидент
• Координация действий системных администраторов в случае выяв-
выявления серьезных инцидентов защиты
• Должен быть доступен через пейджер или мобильный телефон в
любое время суток
• Связь с вышестоящими лицами руководящей цепи
Приложение Б. Политика сетевой защиты компании XYZ
689

Окончание табл. Б. 1
Ответственные лица Роли
Представитель отдела информационной • Передача информации об инциденте официальной группе реагиро-
безопасности вания на инциденты (например, группе CERT)
• Инициатор применения законов
Вице-президент по вопросам информа- • Работа с группой исполнителей по вопросам коммуникаций внутри
ционных систем и технологий и вне компании
• Предоставление сведений о состоянии дел в компании агентствам
новостей и другим внешним организациям (единственное лицо,
уполномоченное делать соответствующие заявления)
• Организация составления отчета о ликвидации инцидента защиты и
внесения соответствующих изменений в процедуры с целью исклю-
исключения инцидентов в будущем
Юридический представитель корпорации • Координация действий, целью которых является наказание наруши-
нарушителей
• Санкционирование внешних связей
690 „. _ Часть VII. Приложения

Приложение
в
Настройка стандартных и
расширенных списков доступа
южении предлагается обзор вариантов настройки стандартных и расширен-
ia IP профаммными средствами Cisco IOS Software. Это приложение
поскольку стандартные или расширенные списки доступа IP использу-
:и защиты Cisco, предлагаемыми Cisco IOS Software, поэтому не
:ой сводку основных сведений о структуре списков доступа,
^представляет собой последовательный набор условий разрешения и
* IP-адресам, протоколам и портам TCP и UDP. Списки доступа
определенным интерфейсам принимать или отправлять пакеты,
вает следующие типы списков доступа IP.
писки доступа IP, в которых для операций сравнения использу-
ето§рика.
Расшире1иые списки доступа IP, в которых для операций сравнения применя-
применяются адр1|й? источника и получателя. В таких списках доступа при сравнении
может исДмьзовйься информация о протоколе и портах TCP или UDP, что
обеспе|рва|Т бодеейгибкие возможности управления.
Динамические расширенные списки доступа IP позволяют управлять доступом
|^'пЬльзовател<Йу|з заданных источников к заданным ресурсам с помощью аутен-
, тификации п^Рз&телей.
сщрски доступа дают возможность фильтровать пакеты IP на ос-
эбратного потока сеанса.
доступа IP обеспечивается поддержка двух главных методов
сетеЩойзйВйты — «Ши&грации пакетов и разделения транспортных потоков.
рация паккШв позволяет управлять движением пакетов в сети, ограничивать
$ой трафик, пршодящий через интерфейсы маршрутизатора Cisco, и доступ к се-
тещм ресурсам|й|р! узлов и сетей с определенными IP-адресами. Например, с помо-
—ш~ фильтрщигийакетов в маршрутизаторе периметра можно разрешить трафик из
:'бастионному узлу или защититься от фальсификации IP-адресов,
пакетов с помощью списков доступа может использоваться для контроля
•А Рефлексив;
f нове ин
спис
сети и сетевому оборудованию. Например, с помощью стандартного списка
упа 1Р*можно указать, с каких удаленных IP-адресов разрешается администриро-
ание маршрутизатора или коммутатора Ethernet средствами Telnet.

Разделение транспортных потоков означает выделение "допустимого" трафика, к
которому следует применить определенное защитное действие. Расширенные списки
доступа IP могут использоваться в криптографических картах, определяющих трафик,
который должен шифроваться средствами СЕТ и IPSec программного обеспечения
Cisco IOS Software.
Типы списков доступа IP и соответствующие им номера представлены в табл. В.1.
1-их-'Номерад|||
Тип списка доступа
Диапазон номеров списка
Стандартный список IP 1-99
Расширенный список IP 100-199
Список мостового доступа для фильтрации кодов протокольного типа 200-299
Список доступа AppleTalk 600-699
Список мостового доступа для фильтрации 48-битовых МАС-адресов или кодов 700-799
поставщика
Стандартный список IPX (Internetwork Packet Exchange - протокол межсетевого 800-899
пакетного обмена)
Расширенный список IPX 900-999
IPX SAP (Service Advertising Protocol - протокол извещения об услугах) 1000-1099
Расширенный список мостового доступа для фильтрации 48-битовых MAC- 1100-1199
адресов или кодов поставщика
Список доступа с обобщенными адресами IPX 1200-1299
Стандартный список доступа IP (дополнительный диапазон) 1300-1999
Расширенный список доступа IP (дополнительный диапазон) 2000-2699
Простой список доступа с ограничением скорости передачи для политики QoS 1-99 или 100-199
(качества сервиса), использующий команду access-list rate limit
IP-адресация и общая структура
списков доступа
В этом разделе представлен обзор правил IP-адресации, включая правила выбора
масок сетей и подсетей. Здесь будут рассмотрены вопросы, являющиеся общими как
для стандартных, так и расширенных списков доступа IP, в частности групповые мас-
маски адресов, явный запрет всех масок, неявные маски, а также вопросы .конфигураций
типичного списка доступа и основные правила настройки таких списков. Представ-
Представленная в этом разделе информация необходима, поскольку для создания эффектив-
эффективных списков доступа требуется четкое понимание принципов IP-адресации.
1Р-адресация
IP-адрес имеет длину 32 бит и разбивается на две части. Первая часть определяет
адрес сети, а вторая — адрес хоста. Адрес хоста может быть (необязательно) разбит на
694
Часть VII. Приложения

адрес подсети и собственно адрес хоста. При использовании адресов подсетей сетевой
адрес можно разделить на адреса меньших сетей.
Чтобы представлять двоичные числа длиной до 32 бит, в IP-адресах используют
разделитель — десятичную точку. Каждый десятичный "разряд" представляет 8-
битовое двоичное число, или октет (т.е. байт). Например, адрес 192.168.20.204 пред-
представляет двоичное число 11000000.10101000.00010100.11001100.
Каждый из 8 бит байта имеет свой десятичный весовой коэффициент, как показа-
показано в табл. В. 2. Если двигаться справа налево, то весовыми коэффициентами будут 1,
2, 4, 8, 16, 32, 64 и 128. Минимальным значением для байта является 0 (когда все би-
биты равны 0), а максимальным — 255 (когда все биты равны 1). В поле хоста IP-адреса
значение 255 резервируется для широковещательных сообщений, предназначенных
для всех хостов сети.
1ица В^.^есятичныевесЬвые'коэффициенты битовМ Л.у
у •*:-;-_
Весовой коэф- 128 64 32 16 8 4 2 1 Десятичный эквивалент
фициент битв
Значения битов 0 0 0 0 0 0 0 0 0
Значения битов 1 1 1 1 1 1 1 1 255
Распределением IP-адресов управляет сетевой информационный центр Internet
(Internet Network Information Center — InterNIC), имеющий для этого соответствую-
соответствующие полномочия. InterNIC также является главным хранилищем документов RFC
(Requests for Comments — запрос комментариев), в которых описывается то, как рабо-
работают протоколы Internet.
Классы сетей
IP-адресация, о которой идет речь, используется для пяти различных классов се-
сетей. Левые крайние биты IP-адреса указывают сетевой класс, который может быть од-
одним из следующих.
• Класс А предназначен для обозначения небольшого числа очень крупных сетей,
поскольку в них для сетевого адреса предоставляется только 7 бит. Каждая из
сетей класса А может иметь свыше 16 миллионов узлов. Все IP-адреса класса А
уже распределены.
• Класс В предоставляет 14 бит для сетевого адреса и 16 бит для адреса хоста. Этот
класс адресов предлагает хорошее сочетание адресных пространств сетей и хостов.
• Класс С предоставляет 22 бит для сетевого адреса. Однако при этом для поля
адреса хоста остается только 8 бит, так что число хостов в сети класса С может
оказаться ограничивающим фактором.
• Адреса класса D резервируются для многоадресных групп, как формально опи-
описано в документе RFC 1112. В адресах класса D четыре бита высшего порядка
установлены равными 1, 1, 1 и 0.
• Адреса класса Е также определяются в рамках IP, но резервируются для ис-
использования в будущем. В адресах класса Е все четыре старших бита устанавли-
устанавливаются равными 1.
Приложение В. Настройка стандартных и расширенных списков... 695

В табл. В.З описаны диапазоны адресов и стандартные сетевые маски для сетей
классов А-С, которые используются чаще всего. Старшие биты первого октета опре-
определяют диапазон адресов для каждого класса.
Класс Старшие биты Первый байт
Стандартная маска
А
В
С
О
10
110
от 1.0.0.0 до 126.0.0.0
от 128.1.0.0 до 191.254.0.0
от 192.0.1.0 до 223.255.254.0
255.0.0.0
255.255.0.0
255.255.255.0
На рис. В.1 показаны форматы адресов для IP-сетей классов А, В и С. Каждый се-
сетевой адрес полного IP-адреса состоит из одного или нескольких байтов, и каждый
сетевой адрес попадает точно на границу байта. Остальная часть IP-адреса состоит из
байтов хоста, которые в сетевом адресе описывают адреса хостов.
Класс А
0
Сеть
Хост
Класс В
1
0
Сеть
Хост
Классе
1
1
0
Сеть Хост
Рис. В. 1. Поля сети и хоста для сетей классов А, В и С
Адреса подсетей
Сети IP можно разделять на меньшие элементы, называемые подсетями. Это по-
позволяет "разбить" выбранную для сети предприятия IP-схему на меньшие элементы.
Подсети создаются посредством "заимствования" крайних слева (главных) битов поля
хоста IP-адреса для обозначения подсети, как показано на рис. В.2. Структурно IP-
адрес с подсетью состоит из поля сети, поля подсети и поля идентификатора хоста.
Если вы решили использовать 8 бит для подсети в IP-адресе класса В, то третий байт
будет обозначать номер подсети. Подсети удобно использовать тогда, когда желатель-
желательно разделить сеть организации на части, например, чтобы скрыть внутреннюю слож-
сложность сети от внешних наблюдателей, или же для более эффективного использования
поля идентификатора хоста в общей структуре IP-адреса. Маска подсети используется
для того, чтобы отличить адрес хоста от адреса сети.
696
Часть VII. Приложения

Адрес класса В без подсети
Класс В
Класс В
1
0
1
0
V 1 V 1
Сеть Хост
Адрес класса В с подсетью
Сеть
Подсеть
Хост
Рис. В.2. Пример использования подсети в сетевом адресе
класса В: 8 бит, заимствованных у поля хоста, позво-
позволяют указать до 16 подсетей сетевого адреса
Битами подсети становятся старшие разряды поля хоста. Чтобы определить маску
подсети для некоторого адреса, сложите десятичные значения, соответствующие би-
битам, равным 1.
224= 128+64+32= 11100000
Ввиду того, что маска подсети определяется не границами байта, а битами, придется
конвертировать десятичный адрес с точками-разделителями в двоичный, а затем выпол-
выполнить обратное преобразование. Выполнять такие преобразования вам поможет табл. В.4.
Весовой коэф-
коэффициент бита
128 64 32 16 8
в маске подсети
Десятичный эквивалент
Значения битов
Значения битоа
Значения битов
Значения битов
Значения битов
Значения битов
Значения битов
Значения битов
128
192
224
240
248
252
254
255
В табл. В.5 представлены данные, которые помогут определить адреса подсетей для
адресов классов В и С. Особенно полезно использование подсетей в адресах класса А,
где поле хоста довольно велико (три байта).
Сетевые администраторы создают адреса подсетей, выделяя для маски подсети
часть поля хоста IP-адреса. При этом размеры подсетей выбираются с учетом потреб-
потребностей организации и перспектив роста ее сети. Сетевая маска указывается в на-
Приложение В. Настройка стандартных и расширенных списков.
697

стройках сетевого оборудования, которое формирует сеть. Сетевые устройства исполь-
используют маски подсетей, чтобы выяснить, какая часть адреса применяется для сети, а ка-
какая — для хоста. При получении и отправке пакетов сетевое оборудование сравнивает
IP-адреса пакетов с маской подсети, чтобы определить поля сети, подсети и хоста.
Длины полей сети, подсети и хоста могут быть разными.
Маска подсети
Подсети класса В
Число подсетей
Число хостов
255.255.192.0
255.255.224.0
255.255.240.0
255.255.248.0
255.255.252.0
255.255.254.0
255.255.255.0
255.255.255.128
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
2
6
14
30
62
126
254
510
1022
2046
4094
8190
16382
16382
8190
4094
2046
1022
510
254
126
62
30
14
6
2
Маска подсети
Подсети класса С
Число подсетей
Число хостов
255.255.255.192
255.255.255.224
255.255.255.240
255.255.255.248
255.255.255.252
2
6
14
30
62
62
30
14
6
2
Групповые маски
И в стандартных, и в расширенных списках доступа IP групповые маски используются
для того, чтобы определить, соответствует ли пакет какой-либо из строк списка доступа.
Групповые маски подобны маскам сети и подсети, поскольку они тоже задаются 32-
битовыми представлениями в десятичном формате с точками-разделителями.
Групповая маска используется следующим образом. Значение 0 бит групповой
маски означает, что соответствующий бит адреса подлежит проверке с помощью пра-
правил, заданных списком доступа, а значение 1 говорит о том, что соответствующий бит
адреса "не является важным" и поэтому может игнорироваться. По этой причине би-
698
Часть VII. Приложения

ты со значением 0 в маске иногда называют существенными, а биты со значением
1 — несущественными. В табл. В.6 предлагаются примеры групповых масок в деся-
десятичном и двоичном виде.
Таблица В.6. Примеры групповых масок
Десятичное 128 64 32
представление
Значения битов
16 8 4
1 Результат
О
15
252
255
ОООООООО Проверка всех битов
адреса
0 0 0 0 1111 Проверка первых четырех
битов адреса
1111110 0 Проверка последних двух
битов адреса
11111111 Отказ от проверки адреса
При правильном комбинировании групповых масок у администратора имеется
возможность указать любые наборы IP-адресов и даже отдельные адреса для проверки
(в соответствующих строках запрета или разрешения доступа).
Список доступа может содержать любое число обычных или групповых адресов.
Групповой адрес имеет ненулевую маску и поэтому потенциально соответствует не
одному конкретному адресу, а группе адресоз. Не забывайте о том, что важным в спи-
списке доступа является и порядок операторов, поскольку обработка списка доступа за-
завершается после первого же обнаруженного совпадения. В табл. В.7 предлагаются
примеры IP-адресов и масок списка доступа, а также результаты соответствующих
проверок. При рассмотрении табл. В.6 и В.7 следует помнить о следующих правилах
сравнения адресов с групповыми масками:
• 0 означает, что данный бит должен соответствовать битам адреса;
• 1 означает, что соответствия битов адресов не требуется.
Таблица В.7. Примеры групповых масок списка доступа и результаты
сравнения
Результат
Любой адрес
Сеть 131.108.0.0
Соответствующий адрес хоста или подсети
Локальное широковещание
Только подсеть 131.120.121.0 (в предположении, что маской подсе-
подсети является 255.255.248.0)
Адрес
0.0.0.0
131.108.0.0
131.108.7.8
255.255.255.255
131.120.121.5
Групповая маска
255.255.255.255
0.0.255.255
0.0.0.0
0.0.0.0
0.0.7.255
Приложение В. Настройка стандартных и расширенных списков...
699

Общие задачи настройки списков доступа
Для использования стандартных и расширенных списков доступа IP необходимо
решить две задачи — создать соответствующий список доступа IP и применить его к
интерфейсу или терминальной линии.
1. Создайте список доступа в режиме глобальной конфигурации, указав номер списка
доступа и условия доступа. Номер списка доступа выберите с помощью табл. В.1.
Определите стандартный список доступа IP, указав адреса источника и групповые
значения.
Определите расширенный список доступа IP, указав адреса источника и получа-
получателя, идентификатор протокола и, если необходимо, информацию о портах для
некоторых протоколов (чтобы определить более точные параметры контроля).
Чтобы проверить доступные имена и синтаксис соответствующих команд, можно
использовать контекстно-зависимую справку, вызываемую с помощью ввода ? в
рамках интерфейса пользователя Cisco IOS.
2. Примените список доступа к интерфейсам или терминальным линиям в режиме
конфигурации интерфейса.
Созданный список доступа можно применить к одному или нескольким интер-
интерфейсам и терминальным линиям. Списки доступа могут применяться как к
внешним, так и к внутренним интерфейсам.
Принципы построения списков доступа
Придерживайтесь следующих общих правил, чтобы создаваемые вами списки дос-
доступа делали именно то, что вы планировали.
• Движение от частного к общему. Организуйте список доступа так, чтобы ссылки на
конкретные сети или подсети размещались перед более общими ссылками. Напри-
Например, отфильтруйте IP-адреса по порядку от частного к общему: сначала хосты, затем
подсети, конкретные сети и только затем любые сети. Если конкретный адрес раз-
размещен после общего адреса и они взаимосвязаны, то конкретный адрес не будет
обрабатываться никогда. Поэтому если необходимо сначала отфильтровать адрес
конкретного хоста, а затем разрешить все другие адреса, убедитесь в том, что соот-
соответствующая строка с адресом конкретного хоста указана первой.
• Первенство часто используемого. Разместите условия, которые используются ча-
чаще всего, перед условиями, применяемыми реже, чтобы на обработку списка
доступа тратилось меньше процессорного времени (но при этом не нарушайте
правило "от частного к общему").
• Неявный запрет всего. Если в конце списка не указан оператор явного разреше-
разрешения всего (permit any), такой список по умолчанию запрещает весь трафик, не
удовлетворяющий ни одному из условий списка.
• Добавление новых строк в конец списка. Добавляемые впоследствии условия всегда
помещаются в конец списка доступа. При использовании нумерованных списков
доступа нельзя выборочно вставлять или удалять строки условий, но можно выбо-
выборочно удалять строки при использовании именованных списков IP (это касается
возможностей Cisco IOS Release 11 2, обсуждаемых ниже в разделе "Именованные
700 Часть VII. Приложения

списки доступа IP"). Отредактировать список доступа (чтобы затем снова приме-
применить его) можно с помощью любого текстового редактора или специальной про-
программы типа Access List Manager, предлагаемой компанией Cisco System.
• Неопределенность списка доступа эквивалентна разрешению всего. Если список
доступа применяется к интерфейсу с помощью команды ip access-group до
того, как создана хотя бы одна строка списка доступа, результатом будет разре-
разрешение любого трафика. Список доступа "начинает жить" тогда, когда приме-
применяются его условия доступа. Если ввести в список только одну строку разреше-
разрешения доступа для конкретного хоста, то, как только вы нажмете клавишу
<Enter>, список превратится из разрешения всего в запрет почти всего (по пра-
правилу неявного запрета). Поэтому необходимо завершить создание всего списка
доступа до того, как применять его к интерфейсу.
Настройка стандартных списков
доступа IP
В этом разделе объясняется, как настроить стандартный список доступа IP. Стандарт-
Стандартные списки доступа IP разрешают или запрещают прохождение пакетов на основе сравне-
сравнения IP-адресов источника. Для номеров стандартных списков доступа IP вьщелен диапазон
чисел от 1 до 99. Стандартные списки доступа IP настраивать проще, чем расширенные,
но они менее гибки, поскольку не могут применяться для фильтрации адресов получателя
или типов трафика. На рис. В.З показано, как с помощью стандартного списка доступа IP
можно запретить доступ к сети в зависимости от адреса источника.
Пакет
Адрес
назначения
172.16.1.0
Рис. В.З. Стандартный список доступа IP запрещает или разрешает
движение пакетов в зависимости от значения IP-адреса источника
пакета (указанный здесь список доступа запрещает доступ к сети)
Внимание!
Начиная с Cisco IOS Software Release 11.1 структура списков доступа IP была сущест-
существенно дополнена. Расширения, предлагаемые в версии 11.1 и более поздних, совмес-
совместимы с предыдущими версиями. При переходе от более ранних версий к версии 11.1
списки доступа конвертируются автоматически, но обратной совместимости нет. По-
Поэтому если вы сохраните список доступа в виде образа, а затем используете более
старое программное обеспечение, то в соответствующей системе этот список доступа
не будет интерпретирован корректно, что может привести к серьезным проблемам
защиты. Поэтому перед тем, как загружать программное обеспечение версии 11.1 или
более поздние образы, сохраните старый файл конфигурации.
Приложение В. Настройка стандартных и расширенных списков... 701

Обработка стандартных списков доступа
Стандартный список доступа IP является последовательным набором условий раз-
разрешения и запрета, применяемых к IP-адресам источника. Маршрутизатор по очереди
сравнивает адреса с условиями списка доступа в том порядке, в каком эти условия
указаны. Первое обнаруженное совпадение определяет, примет маршрутизатор пакет
или отвергнет его. Ввиду того, что маршрутизатор останавливает проверку условий
сразу же после первого совпадения, порядок размещения условий оказывается очень
важным. Если совпадений с условиями не обнаружится, маршрутизатор отвергнет па-
пакет. Пакеты входящего и исходящего трафиков обрабатываются стандартными спи-
списками доступа IP по-разному.
Обработка трафика входящих сообщений
Давайте обсудим процесс обработки стандартного списка доступа IP при фильтра-
фильтрации входящего трафика. Схема процесса показана на рис. В.4. По получении пакета
маршрутизатор проверяет адрес источника пакета и начинает его последовательное
сравнение со строками условий списка доступа. Если в списке доступа обнаруживает-
обнаруживается разрешение для данного адреса источника, маршрутизатор выходит из списка дос-
доступа и продолжает обработку пакета в соответствии с настройками маршрутизатора.
Если список доступа запрещает адрес, маршрутизатор отвергает пакет и возвращает
ICMP-сообщение Host Unreachable (хост недоступен).
Поступивший
пакет
Есть ли
список
для
интерфейса
Совпадает
ли адрес
источника?
Следующая
строка списка
*-| Запрет | | Разрешение \—
Сообщение ICMP Передача пакета
Направление
к интерфейсу
Рис. В А. Обработка входящего трафика с помощью стандартного списка доступа IP
Не забывайте о том, что если строки сравнения в списке доступа закончатся, пакет бу-
будет отвергнут. Это важное правило следует помнить при создании списков доступа. По-
Последним правилом в списке доступа является неявный запрет всего трафика. Оно встроено
702
Часть VII. Приложения

в программное обеспечение Cisco IOS Software и не отображается в конфигурации мар-
маршрутизатора. Весь трафик, который явно не разрешен, неявным образом запрещается.
При реализации политики защиты на практике правило неявного запрета оказывается по-
полезным, поскольку по умолчанию список доступа определяет закрытую политику защиты
и поэтому не требуется указывать какие-либо запрещающие условия. Убедитесь в том, что
для трафика, который должен проходить через интерфейс, определены операторы явного
разрешения, иначе соответствующий трафик будет отвергнут. Правило неявного запрета
применимо и к стандартным, и к расширенным спискам доступа IP.
Обработка трафика исходящих сообщений
Теперь рассмотрим процесс обработки стандартного списка доступа IP при фильт-
фильтрации исходящего трафика. Схема процесса показана на рис. В.5. Для стандартных
списков доступа IP, применяемых к исходящему трафику, при получении и маршру-
маршрутизации пакета в рамках соответствующего интерфейса маршрутизатор проверяет ад-
адрес источника пакета и сравнивает его со строками условий списка доступа. Если в
списке доступа имеется разрешение для данного адреса источника, маршрутизатор
пересылает пакет дальше. Если список доступа запрещает адрес, маршрутизатор от-
отвергает пакет и возвращает ICMP-сообщение Host Unreachable (хост недоступен).
Поступивший
пакет
Направление
к интерфейсу
Совпадает
ли адрес
источника?
Следующая
строка списка
Запрет | [Разрешение |
Сообщение ICMP Передача пакета
Рис. В. 5. Обработка исходящего трафика с помощью стандартного списка доступа IP
Замечание
Различие между стандартными и расширенными списками доступа IP заключается
главным образом в том, что последние проверяют не только адрес источника в паке-
пакете, но и другую информацию.
Приложение В. Настройка стандартных и расширенных списков...
703

Команды стандартного списка доступа
Для создания строк стандартного списка доступа используют команду access-list. Рас-
Рассмотрим синтаксис этой команды, применяемой со стандартными списками доступа.
access-list номер-списка-доступа {deny | permit}
{источник [групповой-адрес-источника] | [log]}
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
номер-списка-доступа Задает список, в который добавляется данная строка: Значением должно быть
число от 1 до 99
deny | permit Определяет действие (запрет или разрешение), которое должно применяться к
трафику с указанных адресов
источник Указывает IP-адрес источника
групповой-адрес- (необязательный) Определяет биты группового адреса, который должен приме-
источника няться к значению источник;
• используйте 32-битовое значение в формате четырех десятичных значений,
разделенных точками. Укажите 1 для тех битов, которые должны игнориро-
игнорироваться соответствующей строкой списка доступа
• используйте ключевое слово any в качестве аббревиатуры, обозначающей
0.0.0.0 для параметра источник и 255.255.255.255 для параметра группо-
групповой-адрес-источника
• если значение этого поля не указано, устанавливается маска 0.0.0.0
log (необязательный) Генерирует информацию о выявлении соответствующих строке
пакетов, направляемую консоли или серверу syslog (структура сообщений, по-
посылаемых консоли, контролируется командой logging console)
Чтобы применить существующий список доступа к интерфейсу, используется команда
ip access-group в режиме конфигурации интерфейса. Любой интерфейс может иметь как
входной, так и выходной списки доступа (при условии, что они оба либо стандартные, ли-
либо расширенные). Давайте рассмотрим синтаксис команды ip access-group.
ip access-group иомер-списка-доступа {in | out}
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
номер-спнска-доступа Задает номер списка доступа. Значением должно быть число от 1 до 99
in Фильтрация входящих пакетов
out Фильтрация исходящих пакетов
С помощью команды no access-list иомер-списка-доступа в режиме глобальной
конфигурации можно удалить список из конфигурации. Можно также отменить при-
применение списка доступа к интерфейсу или линии, воспользовавшись командой no ip
access-group иомер-списка-доступа в режиме конфигурации интерфейса.
704 Часть VII. Приложения

Неявные маски
Чтобы сократить объем данных, вводимых с клавиатуры при создании списков
доступа, и упростить конфигурацию, можно использовать неявные маски стандартных
списков доступа IP. Неявная маска упрощает задачу создания списков доступа, когда
требуется вводить большое число конкретных адресов. Неявные маски автоматически
используются тогда, когда в строке списка доступа не указана групповая маска. К ад-
адресу IP, указанному в качестве источника, применяется неявная групповая маска
0.0.0.0, означающая проверку всех битов адреса при принятии решения о запрете или
разрешении трафика. Единственным ограничением является то, что IP-адрес источ-
источника должен описывать адрес хоста, а не сети или подсети. Рассмотрим следующие
три примера стандартных списков доступа IP с неявными масками.
access-list I permit 10.1.1.3
access-list 1 permit 172.16.21.3
access-list 1 permit 192.168.244.196
Первая строка является примером указания конкретного хоста в конфигурации IP-
адреса класса А. Ввиду того, что маска не определена, подразумевается применение
маски 0.0.0.0, так что в списке доступа будут использоваться все биты IP-адреса. Не-
Неявная маска превращает указанную строку списка доступа в строку access-list 1
permit 10.1.1.3 0.0.0.0. Вторая и третья строки являются примерами неявных масок
для адресов классов В и С.
Размещение стандартных списков доступа
Размещение списков доступа может оказаться сложным делом, но обычно стан-
стандартные списки доступа IP размещаются как можно ближе к маршрутизатору адреса-
адресата, чтобы иметь наилучшие возможности для управления защитой и сохранить при
этом достаточную гибкость доступа. Некоторые общие рекомендации, касающиеся
размещения списков доступа, иллюстрируются с помощью схемы на рис. В.6.
10.3.0.1
Маршрутизатор А Маршрутизатор В Маршрутизаторе Маршрутизатор D
RouterA (config) « access-list 3 deny 10.3.9.1
RouterA (config) « access-list 3 реnit any
RouterA (config) « Interface e1
RouterA (config-if) « lp access-group 3 In
Рис. В.6. Возможности размещения стандартных списков доступа IP
Если целью политики защиты является запрет доступа хоста Z к хосту V при условии
неизменности других правил доступа, то на каком из показанных маршрутизаторов и на
каком из его интерфейсов следует разместить список доступа? Список доступа должен
быть размещен в маршрутизаторе А. Причина в том, что в стандартном списке доступа IP
Приложение В. Настройка стандартных и расширенных списков... 705

можно использовать только адрес источника. Если в какой-то точке маршрута трафик бу-
будет запрещен, недоступными окажутся и все далее размещенные хосты.
Список доступа можно разместить в виде выходного списка на ЕО, но лучше раз-
разместить его в виде входного списка на Е1, чтобы не приходилось обрабатывать мар-
маршруты пакетов, которые затем будут запрещены.
Каким окажется результат в случае размещения списка доступа на других маршру-
маршрутизаторах?
• Маршрутизатор В. Хост Z не сможет соединяться с хостами V и W.
• Маршрутизатор С. Хост Z не сможет соединяться с хостами V, W и X.
• Маршрутизатор D. Хост Z не сможет соединяться с хостами V, W, X и Y.
Типичные ошибки в стандартных списках доступа
Рассмотрим некоторые ошибки программирования стандартных списков доступа
IP на примере следующих строк.
access-list I permit 172.16.129.231
i
access-list 1 permit 0.0.0.0
access-list 1 permit 192.168.0.0
!
access-list 1 deny 0.0.0.0 255.255.255.255
access-list 1 deny any
В этом примере стандартного списка доступа IP содержатся следующие ошибки.
• IP-адрес в первой строке на самом деле является адресом подсети с маской
подсети 255.255.240.0, так что вместо неявной маски 0.0.0.0 здесь следует ис-
использовать групповую маску 0.0.15.255 (см. табл. В.7).
• permit 0.0.0.0 требует точного соответствия адресу 0.0.0.0. В большинстве слу-
случаев этот адрес не действителен, так что список на самом деле запрещает весь
трафик (по правилу неявного запрета).
• permit 192.168.0.0, скорее всего, является ошибкой конфигурации. Целью, ве-
вероятно, являлось 192.168.0.0 0.0.255.255. Адрес 192.168.0.0 зарезервирован для
ссылок на сеть и не должен использоваться для обозначения хоста, а сеть и
подсети представляются явными масками. В результате список запрещает лю-
любой трафик, опять же по правилу неявного запрета.
• deny 0.0.0.0 255.255.255.255 и deny any просто не нужны, поскольку они дуб-
дублируют функцию неявного запрета всего трафика, которая автоматически при-
применяется при несоответствии пакета ни одной из строк списка доступа (запрет
всего трафика и комбинация 0.0.0.0 255.255.255.255 являются эквивалентными).
Тем не менее системные администраторы считают хорошей практикой разме-
размещение оператора deny any в конце списка, так что последняя строка на самом
деле ошибкой не является.
706 Часть VII. Приложения

Пример стандартного списка доступа
Рассмотрим пример конфигурации для сети, показанной на рис. В.7. На рисунке
показана конфигурация списка доступа для маршрутизатора А.
_Е0
Маршрутизатор А
10.48.0.0
10.0.0.0
10.51.0.0
RouterA (config)
RouterA (config)
RouterA (config)
RouterA (config)
RouterA (config)
access-list 2 pemit 19.48.9.3
access-list 2 deny 19.48.9.9 9.9.255.255
access-list 2 pemit 19.9.9.9 9.255.255.255
access-list 2 deny any
interface ethernet 9
RouterA (config-if) « ip access-group 2 in
Рис. В. 7. Пример стандартного списка доступа для маршрутизатора А
Давайте выясним, кто может соединиться с хостом А. Может ли хост В соединить-
соединиться с хостом А? Да. Это разрешается первой строкой, в которой используется неявная
маска хоста.
Может ли хост С соединиться с хостом А? Нет. Хост С находится в подсети, за-
запрещенной второй строкой.
Может ли хост D соединиться с хостом А? Да. Хост D находится в подсети, явно
разрешенной третьей строкой.
Могут ли пользователи из Internet соединиться с хостом А? Нет. Доступ пользова-
пользователей извне явно не разрешен, поэтому такой доступ будет запрещен командой ip
access-group 2 deny any.
Настройка расширенных списков
доступа IP
В этом разделе объясняется, как настроить расширенный список доступа IP, кото-
который позволяет реализовать более избирательное управление фильтрацией и выбором
трафика, чем стандартный список доступа. После краткого обзора структуры расши-
расширенных списков доступа будет выяснено, как происходит обработка расширенных
списков доступа с помощью средств программного обеспечения Cisco IOS Software. В
этом же разделе рассматриваются команды настройки расширенных списков доступа
IP и приводится несколько примеров. Раздел завершается обсуждением возможностей
размещения расширенных списков доступа.
Приложение В. Настройка стандартных и расширенных списков...
707

Стандартные списки доступа IP предлагают быструю настройку и не создают чрез-
чрезмерной нагрузки на систему при анализе сетевого трафика на основе адресов источ-
источника. Расширенные списки доступа IP обеспечивают более широкие возможности
управления фильтрацией на основе протокола транспортного уровня, адреса получа-
получателя и номера порта приложения. Эти возможности позволяют ограничить трафик на
основе характеристик использования сети, как показано на рис. В.8. Соответствующая
схема предполагает, что маршрутизатор периметра контролирует доступ к внутренним
серверам и приложениям с помощью расширенных списков доступа IP, применяемых
к трафику из Internet. Альтернативным вариантом контроля доступа к серверам и
приложениям внутренней сети является использование расширенных списков доступа
IP на внутренних маршрутизаторах.
Сбыт
Telnet
Расширенный список
доступа IP фильтрует
входящий трафик,
контролируя доступ к
внутренним серверным
приложениям
I
FTP
Производство
Рис. В.8. Расширенные списки доступа IP реализуют возможности фильтрации с
учетом протокола транспортного уровня, адресов источника и получателя, а
также номера порта приложения
Обработка расширенных списков доступа
Операторы списка доступа действуют последовательно в том порядке, в каком они ука-
указаны в списке. Если данные в заголовке пакета и операторе списка доступа совпадают, для
этого пакета все остальные операторы игнорируются, а продвижение пакета разрешается
или запрещается, в зависимости от указанного в операторе условия. Если для очередного
условия совпадения не обнаруживается, проверяется следующая строка в списке доступа, и
это повторяется до тех пор, пока не будет достигнут конец списка.
Расширенные списки доступа IP можно использовать для проверки адреса источ-
источника, протокола и адреса получателя. Списки доступа IP предлагают параметры
708
Часть VII. Приложения

фильтрации, зависящие от протокола и конфигурации сети. Например, могут прове-
проверяться порты TCP или UDP, что позволяет маршрутизаторам фильтровать данные на
прикладном уровне.
Давайте рассмотрим процесс обработки пакетов при использовании расширенных
списков доступа IP (рис. В.9). Маршрутизатор проверяет каждый пакет, сравнивая ад-
адреса источника и получателя, протокол и его параметры с теми значениями, которые
указаны в условиях списка доступа. Если условия удовлетворяются и список доступа
разрешает движение, то пакет передается дальше. Если удовлетворенное условие ока-
оказывается оператором deny, маршрутизатор отвергает пакет и возвращает ICMP-
сообщение Host Unreachable (хост недоступен).
Следующая
строка списка
Есть ли список
доступа?
Нет
Да
Адрес
источника
. Совпадение
N
\
Адрес
получателя
овпаденс
\
Проверка
протокола*
№
е
Совпадение
\
Проверка опций
протокола*
\°
звпад(
\
Применение
условия
Запрет
зние
Разрешение
Сообщение ICMP Передача пакета
*Если указано в списке доступа
Рис. В.9. Расширенный список доступа IP проверяет адрес источника, прото-
протокол и адрес получателя в указанном порядке
Команды расширенного списка доступа IP
Строки списка доступа для сложного фильтра трафика создаются с помощью ко-
команды access-list. Рассмотрим синтаксис команды access-list для расширенных
списков доступа IP.
access-list иомер-списка-доступа [dynamic дииамическое-имя [timeout шиуты]]
{deny | permit} протокол источник групповой-адрес-источиика получатель
групповой-адрес-получателя [precedence приоритет] [tos тип-сервиса] [log]
Описания параметров команды представлены в следующей таблице.
Приложение В. Настройка стандартных и расширенных списков...
709

Параметр команды
Описание
номер-списка-доступа
dynamic динамическое-
имя
timeout минуты
deny | permit
протокол
источник и получатель
групповой-адрес-
источника
групповой-адрес-
получателя
Задает список, которому принадлежит строка. Значением должно быть число в
диапазоне от 100 до 199
(необязательный) Указывает, что данный список доступа является динамическим и
используется для защиты типа замка
(необязательный) Указывает предел времени (в минутах), в течение которого в
динамическом списке доступа может сохраняться строка доступа, используемая
для защиты типа замка. По умолчанию это время бесконечно, что позволяет стро-
строке оставаться в списке все время
Действие (запрет или разрешение), которое должно применяться к трафику с ука-
указанными адресами
Имя или номер IP-протокола. Может быть одним из протокольных ключевых слов
ahp, eigrp, esp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pep, tcp,
udp или целым числом из диапазона от 0 до 255, представляющим номер IP-
протокола. Чтобы указать соответствие любому протоколу Internet (включая ICMP,
TCP и UDP), используйте ключевое слово ip. Альтернативным вариантом является
использование протокольных ключевых слов icmp, tcp и udp с параметрами, со-
соответствующими конкретному протоколу
Номер сети или хоста в виде 32-битового значения в десятичном формате с точ-
точками-разделителями. Чтобы упростить конфигурацию, можно использовать ключе-
ключевые слова any и host
Биты группового адреса, применяемого к источнику. Значения 0 соответствуют
битам, подлежащим сравнению, а значения 1 — "несущественным" битам. Воз-
Возможны следующие три способа описания группового адреса источника.
• Использование 32-битового значения в виде четырех десятичных чисел, разде-
разделенных точками. Значения 1 размещаются в тех битовых позициях, которые
можно игнорировать.
• Использование ключевого слова any, обозначающего пару значений 0.0.0.0
255.255.255.255 для параметров источники групповой-адрес-источника.
• Использование представления host источник, по умолчанию предполагающе-
предполагающего значение 0.0.0.0 для параметра групповой-адрес-источника
Биты группового адреса, применяемого к адресу получателя. Значения 0 соответствуют
битам, которые следует сравнивать, а значения 1 - "несущественным" битам. Для опи-
описания группового адреса получателя допустимы следующие три варианта.
• Использовать 32-битовое значение в виде четырех десятичных чисел, разде-
разделенных точками (значения 1 размещаются в тех битовых позициях, которые
можно игнорировать).
• Использовать ключевое слово any, обозначающее пару значений 0.0.0.0
255.255.255.255 для параметров получатель и групповой-адрес-
получателя.
• Использовать представление host получатель, по умолчанию предполагаю-
предполагающее значение 0.0.0.0 для параметра групповой-адрес-получателя
710
Часть VII. Приложения

Параметр команды Описание
precedence приоритет (необязательный) Описывает пакеты, которые могут фильтроваться с учетом при-
приоритета. Задается числом от 0 до 7 или по имени.
• critical E)
• flash C)
• flash-override D)
• immediate B)
• internet F)
• network G)
• priority A)
• routine @)
tos тип-сервиса (необязательный) Описывает пакеты, которые могут фильтроваться с учетом типа
сервиса, заданного соответствующим числом или по имени.
• max-reliability B)
• max-throughput D)
• min-delay (8)
• min-monetary-cost A)
• normal @)
log (необязательный) Генерирует информацию о выявлении соответствующих строке паке-
пакетов, направляемую консоли или серверу syslog (структура сообщений, посылаемых кон-
консоли, контролируется командой logging console). Помните о том, что использова-
использование этого ключевого слова требует дополнительных компьютерных ресурсов
Ключевые слова расширенной маски
Ключевое слово any в позиции источника или получателя означает соответствие
любому адресу и эквивалентно указанию 0.0.0.0 255.255.255.255, как иллюстрирует
следующий пример.
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
! эквивалентное представление;
access-list 101 permit ip any any
Ключевое слово host в позиции источника или получателя означает, что следую-
следующий за ключевым словом адрес должен интерпретироваться так, как будто для него
указана маска 0.0.0.0.
access-list 101 permit ip 0.0.0.0 255.255.255.255 172.16.6.3 0.0.0.0
! эквивалентное представление:
access-list 101 permit ip any host 172.16.6.3
Синтаксис команд 1СМР
С помощью команды access-list icmp создаются строки списка для сложного
фильтра трафика. Протокольное ключевое слово icmp указывает, что для команды
access-list используется альтернативный синтаксис, предполагающий применение
специальных параметров, доступных для данного протокола.
Приложение В. Настройка стандартных и расширенных списков...
711

Рассмотрим синтаксис команды access-list icmp, используемой в расширенных
списках доступа.
access-list номер-списка-доступа [dynamic дииашческое-имя [timeout минуты]]
{deny | permit} icmp источник групповой-адрес-источника получатель
групповой-адрес-получателя [icmp-тип [icmp-код] | icmp-сообщение]
[precedence приоритет] [tos тип-сервиса] [log]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
icmp Указывает протокол ICMP
icmp-тип (необязательный) Описывает пакеты, которые могут фильтроваться по типу сообще-
сообщения ICMP. Тип задается числом из диапазона от 0 до 255
icmp-код (необязательный) Описывает отфильтрованные по типу сообщения ICMP пакеты, ко-
которые могут также фильтроваться по коду сообщения ICMP. Код является числом из
диапазона от 0 до 255
icmp-сообщеиие (необязательный) Описывает пакеты, которые могут фильтроваться по символиче-
символическому имени, представляющему тип или некоторую комбинацию типа и кода сооб-
сообщения ICMP
Имена, типы и коды сообщений ICMP
Cisco IOS Release 10.3 и более поздние версии позволяют использовать символиче-
символические имена сообщений, что упрощает процесс конфигурации и делает сложные спи-
списки доступа более понятными. При использовании символических имен для настрой-
настройки средств фильтрации ping не обязательно помнить, что означает сообщение 8 или 0.
Вместо этого в командах конфигурации можно использовать echo и echo-reply.
В табл. В.8 в алфавитном порядке представлены имена сообщений ICMP с указа-
указанием ICMP-типа и ICMP-кода (если последний предусмотрен).
j Таблица В.8. Имена,-
Имя сообщения ICMP
administratively-
prohibited
alternate-address
conversion-error
dod-host-prohibited
dod-net-prohibited
echo
echo-reply
general-parameter-
problem
host-isolated
ТИПЫ И КОДЫ
ICMP-тип
3
6
31
3
3
8
0
12
3
сообщений
ICMP-код
13
Нет
Нет
10
9
Нет
Нет
0
8
Описание
Административный запрет
Альтернативный адрес
Ошибка конвертирования дейтаграммы
Доступ к хосту запрещен
Доступ к сети запрещен
Запрос отклика (ping)
Ответ на запрос отклика
Проблема параметра; указатель показы-
показывает ошибку
Хост-источник изолирован
712
Часть VII. Приложения

Продолжение табл. В.8
Имя сообщения ICMP
host-precedence-
unreachable
host-redirect
host-tos-redirect
host-tos-unreachable
host-nnknown
host-unreachable
information-reply
information-request
log-input
mask-reply
mask-request
mobile-redirect
net-redirect
net-tos-redirect
net-tos-unreachable
net-unreachable
network-unknown
no-room-for-option
option-missing
packet-too-big
parameter-problem
port-unreachable
precedence-unreachable
protocol-nnreachable
reassembly-timeout
redirect
router-advertisement
router-solicitation
source-quench
ЮМР-тип
3
5
5
3
3
3
16
15
Нет
18
17
32
5
5
3
3
3
12
12
3
12
3
3
3
11
5
9
10
4
ЮМР-код
14
1
3
12
7
1
Нет
Нет
Нет
Нет
Нет
Нет
0
2
11
0
6
2
1
4
Нет
3
15
2
1
Нет
Нет
Нет
Нет
Описание
Хост недоступен по приоритету
Переадресация хоста
Переадресация типа сервиса хоста
Недоступность хоста для сервиса указан-
указанного типа
Хост неизвестен
Хост недоступен
Ответ на запрос информации
Запрос информации
Регистрация совпадения имени сообще-
сообщения ICMP и соответствующего типа, кода
или параметра
Ответ на запрос маски
Запрос маски
Переадресация мобильного хоста
Переадресация дейтаграммы сети
Сетевая переадресация типа сервиса
Недоступность сети для сервиса указан-
указанного типа
Недоступность сети
Сеть неизвестна
Нехватка места для запрошенного пара-
параметра; неподходящая длина
Отсутствие запрошенного параметра
Требуется фрагментация и устанавливает-
устанавливается бит фрагментации (DF)
Любые проблемы параметров
Недоступность порта
Ограничение приоритета
Недоступность протокола
Превышение предела времени сборки со-
сообщения
Все виды переадресации
Объявления маршрутизатора
Запрос объявлений маршрутизатора
Отключение источника
Приложение В. Настройка стандартных и расширенных списков...
713

Окончание табл. В.8
Имя сообщения ICMP
source-route-failed
time-exceeded
timestamp-reply
timestamp-request
traceroute
ttl-exceeded
unreachable
ICMP-тип
3
11
14
13
30
11
3
ICMP-код
5
Нет
0
0
Нет
0
Нет
Описание
Ошибка маршрутизации от источника
Любые сообщения о превышении времени
Ответ на запрос штампа времени
Запрос штампа времени
Трассировка
Превышение предписанного времени су-
существования пакета при транзите
Все виды недоступности адресата
Замечание
Регистрировать пакеты, которые соответствуют коду сообщения ICMP, можно с помо-
помощью ключевого слова log-input. В следующем примере список доступа требует реги-
регистрировать пакеты сообщений ICMP типа 3 с кодом 4 (недоступность ICMP, слишком
большая длина пакета) для всех IP-адресов.
router(config)t access-list 101 permit icmp any any log-input 3 4
router! show access-lists 101
Extended IP accesB liBt 101
permit icmp any any packet-too-big log-input
Синтаксис команд TCP
С помощью команды access-list tcp создаются строки списка для сложного
фильтра трафика. Протокольное ключевое слово tcp указывает, что для команды
access-list используется альтернативный синтаксис, предполагающий применение
специальных параметров, доступных для данного протокола.
Рассмотрим синтаксис команды access-list tcp, используемой в расширенных
списках доступа.
access-list номер-спнска-доступа [dynamic дииамическое-имя [timeout минуты]]
{deny | permit} tcp источник групповой-адрес-источиика [оператор порт [порт]]
получатель групповой-адрес-получателя [оператор порт [порт]] [established]
[precedence приоритет} [tos тип-сервиса] [log]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
tcp
оператор
порт
Указывает протокол TCP
(необязательный) Определяет условие сравнения, применяемое к портам источника
и получателя. Задается ключевым словом It, gt, eq, neq или range
(необязательный) Целое число из диапазона от 0 до 65535 или имя, представляю-
представляющее номер порта TCP. Имена портов TCP могут использоваться только при фильтра-
фильтрации трафика TCP
714
Часть VII. Приложения

Параметр команды Описание
established (необязательный) Устанавливает обмен Telnet (или обмен иного типа) только в одном
направлении: для совпадения требуется, чтобы в ТСР-дейтаграмме был установлен
бит АСК (уведомление) или RST (сброс)
Зарезервированные ключевые слова и номера портов TCP
Расширенные списки доступа IP могут фильтровать пакеты с учетом номеров пор-
портов источника и/или получателя. Программное обеспечение Cisco IOS Software с по-
помощью команды access-list позволяет фильтровать любые номера портов TCP. В
команде access-list можно указать либо номер порта, либо соответствующее ключе-
ключевое слово. Cisco IOS предлагает удобные ключевые слова, которые можно использо-
использовать вместо номеров портов. Кроме того, вместо номера порта можно использовать
знак ?, и тогда соответствующая команда отобразит номера портов, связанных с соот-
соответствующими протокольными именами.
В табл. В.9 представлен список ключевых слов TCP, а также краткие описания
TCP-портов и номера портов для ключевых слов, поддерживаемых командой access-
list. Чтобы ознакомиться с полным списком поддерживаемых портов, обратитесь к
документу RFC 1700.
Габлица В.9. Часто исполё
Ключевое
слово
Описание
Номер
порта
bgp Протокол BGP (Border Gateway Protocol - пограничный межсетевой протокол) 179
chargen Генератор символов 19
cmd Команды удаленного управления (rcmd) 514
daytime Время дня 13
discard Отказ 9
domain Служба имен доменов 53
echo Эхо (отклик) 7
exec Сервис Exec(rsh) 512
finger Сервис Finger 79
ftp Протокол FTP (File Transfer Protocol - протокол передачи файлов) 21
ftp-data Соединения FTP-данных (используется редко) 20
gopher Сервис Gopher 70
hostname Сервер имен хостов NIC (Network Information Center—сетевой информационный центр) 101
ident Протокол IDENT 113
ire Internet Relay Chat (протокол разговора по Internet) 194
klogin Вход в систему Kerberos 543
kshell Оболочка (командный процессор) Kerberos 544
login Начало сеанса (rlogin) 513
Приложение В. Настройка стандартных и расширенных списков...
715

Окончание табл. В.9
Ключевое
слово
Описание
Номер
порта
lpd Сервис принтера 515
nntp Протокол NNTP (Network News Transfer Protocol - сетевой протокол передачи новостей) 119
pin-auto- PIM Auto-RP (Peripheral Interface Manager- менеджер периферийного интерфей- 496
rp ca; Route Processing — обработка маршрута)
рор2 Протокол POP (Post Office Protocol — почтовый протокол) версии 2 109
рорЗ Протокол POP версии 3 110
sntp Протокол SMTP (Simple Mail Transfer Protocol- простой протокол электронной почты) 25
sunrpc Вызов удаленных процедур Sun 111
syslog Сервис Syslog 514
tacacs Система TACACS (Terminal Access Controller Access Control System — система 49
управления доступом к контроллеру терминального доступа)
talk Сервис Talk 517
telnet Сервис Telnet 23
tine Время 37
uucp Программа копирования UNIX-UNIX 540
whois Второе имя, "ник" сетевого пользователя 43
www World Wide Web (протокол НИР) 80
Синтаксис команд UDP
С помощью команды access-list udp создаются строки списка для сложного
фильтра трафика. Протокольное ключевое слово udp указывает, что для команды
access-list используется альтернативный синтаксис, предполагающий применение
специальных параметров, доступных для данного протокола.
Рассмотрим синтаксис команды access-list udp, используемой в расширенных
списках доступа.
access-list номер-списка-доступа [dynamic дннамическое-ння [timeout кинуты]]
{deny | permit} udp источник групповой-апрес-источника [оператор порт [порт]]
получатель групповой-адрес-получателя [оператор порт [порт]]
[precedence приоритет) [tos тип-сервиса] [log]
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
udp
оператор
порт
Указывает протокол UDP
(необязательный) Описывает условие сравнения, применяемое к портам источника и
получателя. Задается ключевым словом It, gt, eq, neq или range
(необязательный) Целое число из диапазона от 0 до 65535 или имя, представляющее номер
порта UDP. Имена портов UDP могут использоваться только при фильтрации трафика UDP
716
Часть VII. Приложения

Зарезервированные ключевые слова и номера портов UDP
Расширенные списки доступа IP могут фильтровать пакеты с учетом номеров пор-
портов источника и/или получателя. Программное обеспечение Cisco IOS Software с по-
помощью команды access-list позволяет фильтровать любые номера портов UDP. В
команде access-list можно указать либо номер порта, либо соответствующее ключе-
ключевое слово. Cisco IOS предлагает удобные ключевые слова, которые можно использо-
использовать вместо номеров портов. Кроме того, вместо номера порта можно использовать
знак ?, и тогда соответствующая команда отобразит номера портов, связанных с соот-
соответствующими протокольными именами.
В табл. В. 10 представлен список ключевых слов UDP, а также краткие описания
UDP-портов и номера портов для ключевых слов, поддерживаемых командой access-
list. Для ознакомления с полным списком поддерживаемых портов обратитесь к до-
документу RFC 1700.
ТаблицаЖ^О. Поля расширенной) списка доступа IP, зарезёрвйрованШе ^
Ключевое
слово
biff
bootpc
bootps
discard
dnsix
domain
echo
isatap
mobile-ip
naneserver
netbios-dgm
netbios-ns
ntp
pim-auto-rp
rip
simp
snmptrap
sunrpc
Описание
Сервис Biff (почтовые уведомления, служба comsat)
Клиент ВООТР (Bootstrap Protocol — протокол начальной самозагрузки)
Сервер ВООТР
Отказ
Аудит протокола защиты DNSIX
Служба имен доменов
Эхо (отклик)
Протокол ISAKMP (Internet Security Association and Key Management Protocol —
протокол управления ассоциациями и ключами безопасности в сети Internet)
Регистрация мобильного протокола IP
Сервис имен IEN116 (устаревший)
Сервис дейтаграмм NetBIOS (Network Basic Input Output System — сетевая ба-
базовая система ввода-вывода)
Сервис имен NetBIOS
Протокол NTP (Network Time Protocol — синхронизирующий сетевой протокол)
Р|М Auto-RP (Peripheral Interface Manager- менеджер периферийного интер-
интерфейса; Route Processing — обработка маршрута)
Протокол RIP (Routing Information Protocol — протокол маршрутной
информации)
Протокол SNMP (Simple Network Management Protocol — простой протокол се-
сетевого управления)
Прерывания SNMP
Вызов удаленных процедур Sun
Номер
порта
512
68
67
9
195
53
7
500
434
42
138
137
123
496
520
161
162
111
Приложение В. Настройка стандартных и расширенных списков...
717

Окончание табл. В. 10
Ключевое Описание Номер
слово порта
syslog Регистрация системных событий (сервис Syslog) 514
tacacs Система TACACS (Terminal Access Controller Access Control System — система 49
управления доступом к контроллеру терминального доступа)
talk Сервис Talk 5O
tf tp Протокол TFTP (Trivial File Transfer Protocol - простейший протокол передачи 69
данных)
time Время 37
who Сервис Who (rwho) 5K
xdmcp Протокол менеджера управления X Display 177
Размещение расширенных списков доступа IP
Поскольку расширенные списки доступа IP позволяют фильтровать пакеты не толь-
только на основе адресов источника, размещение таких списков не предполагает особых ог-
ограничений. Поэтому чаще всего главным аргументом в пользу того или иного варианта
размещения такого списка доступа оказываются требования политики защиты.
Если целью является минимизация объема пересылаемых данных и максимальное
быстродействие, то списки доступа можно разместить в маршрутизаторах периметра
сети, чтобы уменьшить поток данных, пересекающих периметр, и число сообщений о
недоступности хостов. Если частью политики сетевой защиты является более строгий
контроль доступа к конкретным внутренним узлам, можно разместить списки доступа
в маршрутизаторах, наиболее близких к защищенным хостам. Не следует размещать
списки доступа в центральных и магистральных маршрутизаторах, поскольку это при-
приведет к дополнительным задержкам.
Вот некоторые рекомендации, касающиеся размещения списков доступа.
• Минимизируйте путь запрешаемого трафика (и, соответственно, число посы-
посылаемых ICMP-сообщений о недоступности объектов)
• Не допускайте запрещаемый трафик к магистральным объектам
• Мощность маршрутизатора должна быть достаточной для того, чтобы справить-
справиться с нагрузкой, создаваемой списком доступа
• Разместите списки доступа на соответствующих интерфейсах, чтобы обеспечить
наиболее эффективную защиту трафика
• Обслуживание сложных списков доступа может оказаться непростым делом,
поэтому проверяйте вносимые в списки изменения перед тем, как включить их
в конфигурацию сети предприятия
• Не забывайте о том, что с расширением сети усложняется процесс сопровожде-
сопровождения списков доступа
718 Часть VII. Приложения

Первый пример расширенного списка доступа IP
Рассмотрим пример расширенного списка доступа IP для разрешения и защиты
трафика электронной почты в Internet. На рис. В. 10 показана схема сети и соответст-
соответствующие команды конфигурации маршрутизатора В.
172.16.1.3
Маршрутизатор В Маршрутизатор А
Е1
interface ethernet 1
ip access-group 103 in
I
access-list 103 permit tcp any 172.16.1.0 0.0.255.255 established
access-list 103 permit tcp any host 172.16.1.3 eq smtp
Рис. В. 10. Расширенный список доступа IP в маршрутизаторе разрешает
трафик электронной почты Internet, обеспечивая при этом защиту
В этом примере интерфейс Ethernet 1 является частью сети 172.16.0.0 класса В, а
хост электронной почты имеет адрес 172.16.1.3. Ключевое слово established, исполь-
используемое только для протокола TCP, указывает на установленное соединение. Для сов-
совпадения требуется, чтобы в TCP-пакете был установлен бит АСК или RST (это и оз-
означает, что пакет принадлежит существующему соединению). Если установлен бит
SYN, указывающий на инициализацию сеанса, пакет отвергается.
Замечание
TCP-хосты должны создавать сеансы, ориентированные на установление соединений.
Чтобы обеспечить надежный транспортный сервис, установка соединения выполняется с
помощью процедуры трехходового квитирования. Данная процедура использует два
флаговых бита в заголовке TCP-пакета. Бит синхронизации (SYN) используется для того,
чтобы инициализировать соединение, а бит квитирования (АСК) — для подтверждения
SYN. Процедура трехходового квитирования выполняется следующим образом.
1. Первый узел (маршрутизатор А на рис. В.10) инициализирует создание соедине-
соединения, посылая пакет с установленным битом SYN, означающим запрос соединения.
2. Второй узел (маршрутизатор В) получает пакет SYN и отвечает пакетом подтвер-
подтверждения с установленным битом АСК.
3. Первый узел (маршрутизатор А) также отвечает установленным битом АСК. После
этого может начинаться пересылка данных.
Приложение В. Настройка стандартных и расширенных списков... 719

Второй пример расширенного списка доступа IP
Рассмотрим пример расширенного списка доступа IP, разрешающего пересылку
пакетов сервера имен/доменов, ICMP-пакетов запроса отклика и ответов на такие за-
запросы. На рис. В. 11 показана схема сети и соответствующие команды конфигурации
маршрутизатора В.
172
16.1.3
Я
172.16.1.0
<
so x
gsgk
E0Wa|^E1
Маршрутизатор В
t
1
interface serial 0
ip access-group
Internet }
X4 ^
/
192.168.2.0
104 in
172
16.1.3
access-list 104 permit tcp any 172.16.1.0 0.255.255.255 established
access-list 104 permit tcp any host 172.16.1.3 eq smtp
access-list 104 permit udp any eq domain any
access-list 104 permit icmp any any echo
access-list 104 permit icmp any any echo-reply
Рис. В.11. Расширенный список доступа IP, разрешающий движение пакетов сервера
имен/доменов и ICMP-пакетов Echo и Echo Reply
Проверка конфигурации списка
доступа
В этом разделе объясняется, как проверить конфигурацию списка доступа. Суще-
Существует немало команд, которые оказываются полезными при проверке конфигурации
списка доступа. Это, в частности, команды show access-lists, clear access-list
counters и show line. Команду show running-conf ig удобно использовать для отобра-
отображения текущей конфигурации списков доступа. Все эти команды вводятся в приви-
привилегированном режиме EXEC.
С помощью команды show access-lists можно отобразить списки доступа для всех
протоколов. Чтобы отобразить все имеющиеся списки доступа IP, следует использовать
команду show ip access-list. Чтобы проверить конкретный список доступа, воспользуй-
воспользуйтесь командой show ip access-list [ншер-списка-доступа | имя]. Можно также использо-
использовать команду show running-conf ig, которая позволяет увидеть созданные списки доступа.
Система учитывает число пакетов, проходящих через каждую строку списка досту-
доступа. Значения соответствующих счетчиков отображаются с помощью команды show
access-lists. Эти счетчики могут оказаться полезными при поиске ошибок в списке
доступа, когда нужно определить, какая из строк списка запрещает или разрешает
движение пакета. Счетчики могут помочь и при решении эксплуатационных задач,
720
Часть VII. Приложения

когда, например, требуется определить, какие строки списка доступа используются
чаще всего. Чтобы очистить счетчики списка доступа, воспользуйтесь командой clear
ассезв-liet counter в в режиме EXEC. Для очистки счетчиков конкретного списка
доступа примените команду clear ассезв-liet countere [номер-списка-доступа \ имя].
Команда Bhow line применяется для отображения информации о терминальных
линиях.
Вывод команды Bhow ip ассевв-liet демонстрирует содержимое определенных в
настоящий момент списков доступа IP. Рассмотрим следующий пример вывода ко-
команды Bhow ассевв-liBte, в котором указано число совпадений, обнаруженных для
соответствующего списка доступа.
plrllehow ассевв-lietB
Extended IP access "list" 100
deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet C matches)
deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet
permit ip any any F29 matches)
Именованные списки доступа IP
Для создания именованного (не нумерованного) списка доступа IP примените ко-
команду ip accese-liet. Именованные списки доступа используются для настройки
рефлексивных списков доступа и для контекстного управления доступом. Именован-
Именованные списки доступа вводятся в режиме глобальной конфигурации. Команда ip
ассевв-liet впервые появилась в Cisco IOS Release 11.2.
Команда ip ассевв-liet открывает режим конфигурации списка доступа, в кото-
котором с помощью команд deny и permit требуется определить условия доступа. Пара-
Параметр etandard или extended в команде ip ассевв-liet определяет вид приглашения и
опции, доступные в режиме конфигурации списка доступа.
С помощью команды ip ассевв-group список доступа применяется к соответст-
соответствующему интерфейсу.
Команда ip ассевв-list имеет следующий синтаксис.
ip ассевв-liet {Btandard | extended} имя
Описания параметров команды представлены в следующей таблице.
Параметр команды Описание
standard Указывает стандартный список доступа IP
extended Указывает расширенный список доступа IP
имя Указывает имя списка доступа. Имя не должно содержать пробелов и кавычек и
должно начинаться с буквы, чтобы не возникало путаницы с нумерованными списка-
списками доступа
Замечание
Именованные списки доступа не распознаются программным обеспечением, выпу-
выпущенным до Cisco IOS Releaee 11.2.
Приложение В. Настройка стандартных и расширенных списков... 721

Рассмотрите данные следующего сеанса, в котором отображаются опции команды
ip access-list extended.
p2rl(config)#ip access-list extended AccessList
p2r 1 (conf ig-ext-nacl) jf?
Ext Access List configuration commands:
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITS or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
p2rl (config-ext nacl)#permit ?
<0 255> An IP protocol number
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco s GRE tunneling
icmp Internet Control Message protocol
igmp Internet Gateway Message Protocol
igrp Cisco s IGRP routing protocol
ip Any Internet Protocol
ipinip IP in IP tunneling
nos KA9Q NOS compatible IP over IP tunneling
ospf OSPF routing protocol
pep Payload Compression Protocol
pim Protocol Independent Multicast
tcp Transmission Control Protocol
udp User Datagram Protocol
p2rl(config-ext nacl)#permit ip ?
A.B.C.D Source address
any Any source host
host A single source host
p2rl(config-ext nacl)flpermit ip any any ?
log Log matches against this entry
log-input Log matches against this entry, including input interface
precedence Match packets with given precedence value
reflect Create reflexive access list entry
time-range Specify a time-range
tos Match packets with given TOS value
p2rl(config-ext-nacl)jfpermit tcp ?
A.B.C.D Source address
722 Часть VII. Приложения

any Any source host
host A single source host
p2rl(config ext-nacl)ipermit tcp any any ?
ack Match on the ACK bit
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input interface
It Match only packets with a lower port number
neq Match only packets not on a given port number
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
reflect Create reflexive access list entry
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
urg Match on the URG bit
p2rl(config-ext nacl)ipermit tcp any any eq ?
<0-65535> Port number
bgp Border Gateway Protocol A79)
chargen Character generator A9)
cmd Remote commands (rcmd, 514)
daytime Daytime A3)
discard Discard (9)
domain Domain Name Service E3)
echo Echo G)
exec Exec (rsh, 512)
finger Finger G9)
ftp File Transfer protocol B1)
ftp-data FTP data connections (used infrequently, 20)
gopher Gopher G0)
hostname NIC hostname server A01)
ident Ident Protocol A13)
ire Internet Relay Chat A94)
klogin Kerberos login E43)
kshell Kerberos shell E44)
login Login (rlogin, 513)
lpd printer service E15)
nntp Network News Transport Protocol A19)
pim-auto-rp PIM Auto-RP D96)
pop2 Post Office Protocol v2 A09)
рорЗ Post Office Protocol v3 A10)
Приложение В. Настройка стандартных и расширенных списков..
723

smtp Simple Mail Transport Protocol B5)
sunrpc Sun Remote Procedure Call A11)
syslog Syslog E14)
tacacs TAC Access Control System D9)
talk Talk E17)
telnet Telnet B3)
time Time C7)
uucp Unix-to-Unix Copy Program E40)
whois Nickname D3)
www World Wide Web (HTTP, 80)
Резюме
В этом приложении представлен обзор стандартных и расширенных списков дос-
доступа IP, поддерживаемых программным обеспечением Cisco IOS Software для контро-
контроля и идентификации трафика в маршрутизаторах Cisco.
Ссылки
Темы, рассмотренные в этом приложении, достаточно сложны, поэтому для более
полного их понимания и применения на практике соответствующих средств требуется
более глубокое изучение. Используйте следующие ссылки, чтобы узнать больше о
списках доступа, обсуждавшихся в этом приложении.
Настройка списков доступа IP
Более подробная информация о возможностях настройки списков доступа IP со-
содержится в разделе "Filter IP Packets" главы "Configuring IP Services" руководства Cisco
JOS Release 12.0 Network Protocols Configuration Guide, Part 1.
Информация о конкретных командах списков доступа IP содержится в главе "IP
Services Commands" руководства Cisco IOS Release 12.0 Network Protocols Configuration
Guide, Part 1.
Протокол IP и правила адресации
Cisco Connection CD (раздел "Technology Information"), Internetworking Technology
Overview (раздел "Internet Protocols"). Cisco Systems, Inc., 1999.
RFC 950. Postel J. and Mogul J. Internet Standard Subnettmg Procedure, August, 1985. В
этом документе RFC описаны правила добавления подсетей в IP-адреса.
RFC 1700. Postel J. and Haller N. Assigned Numbers, October, 1994. Этот документ
RFC представляет собой краткое описание процесса присваивания параметров прото-
протокола для набора протоколов Internet.
724 Часть VII. Приложения

Приложение
г
Ответы на контрольные
вопросы
.-4%
В этом5:1Гриложении содержатся ответы на контрольные вопросы, предлагаемые в
конце каждйй* главы.
— «Ills, •л&.
Глава-:Ж
1. ВчемшроблёЖгбезопасности сетей, стоящая перед бизнесом сегодня?
¦ ¦¦: •Илф,
Требуются весьма сложные средства защиты, способные противостоять новейшим
методам хакеров; ш
Систему защиты построить сложно, поскольку всеобъемлющее решение является
комбинацией большого числа разрозненных продуктов.
•?/¦ Щ Щ
2. Перечислите |Ить главных факторов возрастания важности защиты сетей.
* Рост объемов сетевого трафика.
Рост числа соединении в Internet.
'.' .¦'¦' '•" %? Л$?%
Рост числа сетевых приложений.
Увеличение потерь И3|3а брешей в системах защиты.
-г i Рост числа регистрируемых сетевых вторжений.
3. Жаковы три главные "причины возникновения проблем защиты сетей?
!|т .?:-М Ш
'Недостатки технологии.
г. /?:- w щ
Недостатки конфигурации.
Недостатки политики защиты.
4. Жакие недостатки может иметь политика защиты?
"' Отсутствие письменно сформулированных требований.
1 Внутренние противоречия и отсутствие постоянной поддержки, препятствия в деле
¦'¦i реализации соответствующей политики.
' ¦' ш
v Отсутствие логичного управления доступом к сетевому оборудованию.
; Слабое администрирование, включая мониторинг и аудит.
;' Несоответствие правил установки и модификации программного обеспечения и аппа-
аппаратных средств действующей политике защиты.

Отсутствие четко спланированных процедур восстановления работоспособности сис-
системы в случае инцидентов защиты.
5. Кто обычно выступает в роли внутренних нарушителей защиты сети?
Служащие компании, которые могут нарушать защиту сети сознательно или случайно.
Служащие, которые нарушают структуру сетевой среды в результате неправильного
использования оборудования или некорректного изменения конфигурации.
6. Как проводятся атаки разведки с помощью сетевого анализатора пакетов?
Устройство для анализа пакетов может быть размещено в здании организации, в
монтажном шкафу или в каком-то другом месте сети.
Программное обеспечение для анализа пакетов может быть тайно внедрено в систе-
системы хостов сети.
Анализаторы пакетов могут использоваться в Internet для перехвата передаваемых
данных с целью выяснения имен н паролей пользователей н получения другой важной
информации.
7. Опишите стадии несанкционированного доступа.
Получение первичного доступа с помощью угаданных или перехваченных имен поль-
пользователей и паролей.
Получение привилегированного или корневого доступа, позволяющего управлять се-
сетевым оборудованием.
Создание "люка" для повторного несанкционированного доступа в дальнейшем.
Ликвидация "следов" удаленного доступа.
8. Почему так распространены атаки блокирования сервиса?
Атаки блокирования сервиса относительно просто реализовать, поскольку от них не
защищен протокол IP. Именно поэтому сетевые нарушители и устраивают
"вандализм" в сети.
9. Какой тип атак подтасовки данных является наиболее распространенным?
Фальсификация IP-адресов.
10. Какую пользу могут принести организации сетевые инженеры и системные админи-
администраторы, имеющие соответствующую подготовку в области сетевой защиты?
Организация сможет внедрить систему мер сквозной защиты, обеспечивающей более
высокий уровень безопасности коммерческих операций в сети.
Глава 2
1. Какие два элемента сетевой защиты должны быть уравновешены?
Расходы на реализацию мер сетевой защиты и потенциальные потери в результате
нарушения системы защиты.
2. Из каких пяти компонентов состоит цикл защиты?
Защита, мониторинг, тестирование, совершенствование и сама политика защиты.
3. Что представляет собой политика защиты сети?
728 Часть VII. Приложения

В соответствии с Руководством по защите Web-узла (Site Security Handbook,
RFC 2196), "политика защиты — это набор формальных правил, регламентирующих
возможности и действия лиц, получающих доступ к технологиям и информационным
ресурсам организации. ..., по существу, политика защиты является документом, от-
отражающим то, как корпорация планирует использовать и защищать свои вычисли-
вычислительные ресурсы и сеть в целом".
4. Почему организации следует тратить усилия и время на разработку эффективной
политики сетевой защиты?
Наличие политики защиты дает следующие преимущества.
• Она обеспечивает базу для контроля безопасности сети.
• Создает каркас для реализации системы сетевой защиты.
• Определяет, какое поведение в сети является приемлемым, а какое — нет.
• Помогает выяснить, какое оборудование и какие процедуры требуются организации.
• Позволяет достичь консенсуса между группами принимающих решения лиц и
распределить ответственность между пользователями и администраторами.
• Определяет стратегию восстановления системы сетевой защиты в случае нарушений.
• Защита узлов сети становится частью общей системы защиты, а сами узлы соот-
соответствуют политике сетевой защиты.
• Создает основу для преследования нарушителей в судебном порядке.
5. Назовите основные разделы политики сетевой защиты?
Распределение полномочий и ответственности.
Политика приемлемого использования сети.
Политика идентификации и аутентификации.
Политика доступа к Internet.
Политика доступа к территориальной сети.
Политика удаленного доступа.
Процедура реагирования на инциденты защиты.
6. Для чего можно использовать политику сетевой защиты?
Политику сетевой защиты можно использовать для определения совокупности объек-
объектов, которые следует защищать, идентификации известных угроз, от которых следует
защищаться, создания общего плана построения системы защиты и информирования
пользователей о правилах работы в сети.
7. Каким образом политика сетевой зашиты может помочь при тестировании систе-
системы защиты?
Сформулированная и представленная в виде документа политика защиты может подска-
подсказать оптимальный порядок тестирования и контроля состояния системы защиты сета.
Политика должна определять процедуры тестирования и обеспечения безопасности сета.
8. Какие из средств, предлагаемых компанией Cisco, применяются для проверки
систем защиты?
Сканер CiscoSecure автоматизирует процесс аудита системы защиты сета, используя для
этого подробную карту сета и проверку точек уязвимости. Система CiscoSecure IDS явля-
Приложение Г. Ответы на контрольные вопросы 729

ется системой обнаружения вторжений, работающей в реальном масштабе времени н в
фоновом режиме; она не оказывает влияния на трафик законных пользователей сети.
9. Куда можно сообщить о неизвестном ранее серьезном случае сетевого вторжения?
Используйте возможности CIAC (Computer Incident Advisory Capability — консульта-
консультативная служба компьютерных сбоев), доступные по адресу: www.ciac.llnl.gov.
10. Что является основным характерным требованием закрытой политики защиты?
Запрещается все, что явно не разрешено.
Глава 3
1. Чем оправданы затраты времени и усилий на достижение максимальной защи-
защищенности оборудования, формирующего инфраструктуру сети?
Вполне вероятно, что многие лица (как внутри, так и вне предприятия) хотели бы
преодолеть защиту корпоративной сети. Службы и интерфейсы сетевого оборудова-
оборудования территориальной сети предприятия достаточно уязвимы, но нм можно обеспечить
лучшую защиту. При этом, чтобы существенно усилить защиту сетевой инфраструк-
инфраструктуры, не требуется покупать никакого дополнительного оборудования.
2. С помощью каких двух команд Cisco IOS назначаются пароли начала сеанса для
консоли и доступа Telnet?
Сначала следует применить команду line console или line vty, а затем команду
enable password.
3. Какие команды применяются для защиты административного интерфейса в ре-
режиме конфигурации линии?
Команда exec-banner, активизирующая отображение баннера EXEC.
Команда exec-timeout, устанавливающая лимит времени EXEC.
Команда login, активизирующая проверку пароля.
Команда motd-banner, активизирующая отображение баннера MOTD.
Команда privilege, изменяющая уровень привилегий для линии.
Команда session-timeout, закрывающая соединение при отсутствии трафика.
4. Какая команда используется для создания иерархии уровней привилегий админи-
администрирования?
Команда privilege.
5. С помощью каких команд Cisco IOS можно ограничить доступ Telnet к маршру-
маршрутизатору с пятью портами vty, разрешив доступ только для узла с адресом
10.2.4.1?
router(config)taccess-list 30 permit 10.2.4.1
router(config)iline vty 0 4
router(config-line)taccess-class 30
6. Как запретить доступ системы NMS нарушителя к агенту SNMP?
Используйте команду snmp-server community, чтобы задать групповую строку, соот-
соответствующую списку систем NMS, которым разрешен доступ, и используйте списки
доступа, чтобы управлять доступом сетевого управления SMNP.
730 Часть VII. Приложения

7. Какая из возможностей Cisco IOS обеспечивает защиту обновлений маршрутиза-
маршрутизации от атак фальсификации адресов при использовании протокола маршрутиза-
маршрутизации EIGRP?
Аутентификация соседнего маршрутизатора на основе применения MD5.
8. Какие четыре метода (и соответствующие команды маршрутизатора) используют-
используются для контроля объявления маршрутов и обработки обновлений маршрутизации?
Запрет объявления маршрутов в обновлениях маршрутизации с помощью стандарт-
стандартных списков доступа и команд distribute-list.
Запрет обработки обновлений маршрутизации с помощью стандартных списков дос-
доступа и команд distribute-list.
Запрет обновлений маршрутизации через интерфейс с помощью команды passive-
interface.
Фильтрация источников информации о маршрутизации с помощью команды
distance вес.
9. С помошью каких команд Cisco IOS можно запретить объявление обновлений
маршрутизации IGRP (автономная система 100) по интерфейсу Ethernet 0 от сети
10.17.1.0 в рамках интерфейса Ethernet 1?
router(config)taccess-list 45 deny 10.17.1.0 0.0.0.255
router(config)trouter igrp 100
router(config-router)tdistribute-list 45 out ethernet 0
10. Какими методами осуществляется управление защитой коммутатора Ethernet?
Доступ к коммутатору Ethernet контролируется с помощью средств фильтрации за-
защищенных портов, настройка которых выполняется командой set port security, a
также с помощью средств управления административным доступом, которые на-
настраиваются при использовании команды set ip permit.
Глава 4
1. Какие режимы сетевого доступа защищаются с помощью средств ААА?
Средства АЛЛ защищают трафик линейного режима (текстовый режим, используе-
используемый, например, для консоли или доступа vty) и трафик пакетного режима
(используемый, например, для доступа РРР или ARA).
2. На основе каких критериев и стандартов должен выбираться метод аутентификации?
Метод аутентификации должен выбираться в соответствии с требованиями политики
сетевой защиты, которая должна поддерживать баланс между степенью защиты и
простотой доступа к сетевым ресурсам для легальных пользователей.
3. Как выполняется процедура трехходового квитирования CHAP?
Сервер сетевого доступа посылает вызов удаленному клиенту.
Удаленный клиент посылает в ответ значение односторонней функции хэширования.
Сервер сетевого доступа проверяет полученный хэш-код.
4. Для решения каких задач сетевые администраторы используют авторизацию?
Приложение Г. Ответы на контрольные вопросы 731

Авторизация используется для управления доступом пользователей к сетевым сервисам.
5. Когда следует использовать локальную базу данных защиты?
Локальная база данных защиты должна использоваться тогда, когда в сети имеется
всего однн-два сервера сетевого доступа, а число обращающихся к ним пользовате-
пользователей невелико. В этом случае расходы на создание и поддержку удаленной базы дан-
данных защиты не будут оправданы.
6. Какие протоколы сервера зашиты поддерживает программное обеспечение Cisco
IOS Software?
Программное обеспечение Cisco IOS поддерживает протоколы TACACS+, RADIUS и
Kerberos.
7. Каковы основные характеристики TACACS+?
TACACS+ использует протокол TCP, поддерживает архитектуру ААА, шифрует со-
содержимое пакетов н поддерживает РАР и CHAP.
8. В чем преимущества RADIUS по сравнению с TACACS+?
RADIUS имеет настраиваемые атрибуты, которые могут изменять производители.
9. Какие сервисы в рамках Cisco IOS Software обеспечивают поддержку Keitoeros?
Telnet, rlogin, rsh н гср.
10. Когда следует использовать CiscoSecure ACS для Windows NT?
CiscoSecure ACS для Windows NT следует использовать тогда, когда для управления
сетевой средой компания предпочитает использовать Windows NT, когда требуется
централизовать управление сетевым доступом и когда компания предпочитает одно-
однократное применение процедуры входа в систему и использование поддерживаемой
системой базы данных пользователей NT.
Глава 5
1. Для чего используется команда service password-encryption в процессе подго-
подготовки к настройке средств ААА?
Чтобы обеспечить защиту привилегированного режима EXEC сервера сетевого доступа.
2. Каким двум режимам сервера сетевого доступа можно обеспечить защиту с по-
помощью команд ААА?
Символьному (линейному режиму) для портов tty, vty, aux и cty и пакетному
(интерфейсному режиму) для портов async, group-async, BRI и PRI.
3. Для чего в команде ааа authentication ppp sales if-needed local используется
параметр local?
Если метод "if-needed" не сработает, для аутентификации РРР будет использована
локальная база данных.
4. Какие команды ААА применяются для глобальной активизации ААА с одновре-
одновременной защитой всех линий доступа?
ааа new-model n aaa authentication login default enable
5. Что делает команда ааа authorization network Pisces local none?
732 Часть VII. Приложения

Команда ааа authorization network Pisces local none использует локальную базу
данньк для авторизации доступа ко всем сетевым сервисам SLIP, PPP и ARAP. Если
локальный сервер недоступен, авторизация не выполняется, и тогда пользователь
может использовать все сетевые сервисы.
6. Какая команда EXEC может использоваться для мониторинга событий аудита по
мере их выявления?
debug aaa accounting
7. Какие действия необходимо выполнить для определения списка методов?
Указать сервис (PPP, ARAP или NASI).
Определить имя списка или имя списка по умолчанию.
Указать метод идентификации.
8. Какую команду можно использовать в начале сеанса debug aaa authentication,
чтобы обеспечить точное время для ссылок в сообщениях?
Команду service timestamps debug datetime msec. Эта команда должна применять-
применяться совместно со ссылкой на авторитетный сервер NTP (сервер синхронизации време-
времени), чтобы штампы времени были более точными.
9. Что делает команда aaa accounting exec start-stop local?
Эта команда посылает извещение о начале записи в начале выполнения процесса
EXEC и извещение об окончании записи, когда процесс EXEC завершается.
10. Сколько методов аутентификации можно указать в команде aaa authentication,
определяющей список методов аутентификации?
Можно указать до четырех методов.
Глава 6
1. Укажите все "за" и "против" использования базы данных Windows NT User Data-
Database (по сравнению с базой данных CSNT).
За:
• наличие одной базы данньк упрощает администрирование и вход в систему для поль-
пользователя, которому при этом требуется только одна комбинация имени и пароля;
• существует возможность использования комбинаций имен пользователей и паро-
паролей, уже имеющихся в базе данных;
• пользователям обеспечивается возможность однократного прохождения процеду-
процедуры входа в систему.
Против:
• невозможность использовать другую базу данных имен пользователей и паролей в
улье SAM NT;
• невозможность хранить пароли другого вида (например, пароли CHAP);
• невозможность применения алгоритмов обработки идентификационных карт с
ульев SAM NT.
Приложение Г. Ответы на контрольные вопросы 733

2. Что необходимо для настройки CSNT с помощью Windows NT User Manager
(диспетчер пользователей Windows NT)?
Пары имен н паролей в базе данных пользователей NT.
Пользовательская группа должна включать политику "Log on Locally" (локальный
вход в систему).
Для пользовательского профиля не должны быть выбраны пункты "Change password
at next login" (изменение пароля при следующем входе) н "Disable account" (отмена
учетной записи).
В меню удаленного доступа следует выбрать "Grant dialin permissions" (разрешение
привилегий), если необходимо дополнительно управлять привилегиями начала сеанса
пользователя с помощью средств NT.
Возможность обратного вызова должна быть отключена.
3. Что следует настраивать с помощью Web-интерфейса CiscoSecure ACS?
С помощью Web-интерфейса CiscoSecure ACS можно настраивать профили пользователей
н групп, параметры сервера сетевого доступа (включая параметры авторизации), сервисы
CiscoSecure ACS, сервер идентификационных карт, параметры удаленного администриро-
администрирования, а также можно просматривать встроенную документацию.
4. Как можно получить информацию аудита ААА в CiscoSecure ACS?
Информацию аудита можно увидеть, перейдя к разделу "Reports and Activity" (отчеты н
события) в окне интерфейса Web-броузера. Файлы отчета в формате . csv можно импор-
импортировать в базу данных или электронную таблицу для дальнейшего анализа.
5. С чего нужно начинать при решении проблем конфигурации CiscoSecure ACS?
С просмотра подраздела "Failed Attempts Report" (отчет неудачных попыток) нз раз-
раздела "Reports and Activity" в окне интерфейса Web-броузера.
6. Укажите и опишите возможности CiscoSecure ACS для NT, важные в распреде-
распределенной системе защиты.
Возможность передачи аутентификации позволяет серверу CSNT автоматически пе-
переправлять запросы аутентификации, поступающие от сервера сетевого доступа,
другому серверу CSNT.
Нейтрализация аварийно завершенных соединений позволяет определить порядок, в
котором должны проверяться удаленные серверы CSNT, если не удается соединиться
с главным сервером CSNT.
Удаленная н централизованная регистрация событий позволяет настроить удаленные
серверы CSNT на передачу всех контрольных сообщений одному серверу CSNT, ко-
который выполняет роль централизованного хранилища.
7. Какие три типа серверов идентификационных карт поддерживает CiscoSecure
ACS для NT?
CRYPTOCard, Security Dynamics Inc. н Axent.
8. С какой целью используется команда tacacs-server key строка-ключ?
Команда tacacs-server key строка-ключ определяет секретную текстовую строку,
совместно используемую сервером доступа н сервером TACACS+. Эта строка приме-
применяется для шифрования паролей н сообщений ответа.
734 Часть VII. Приложения

9. Опишите основные шаги процесса настройки сервера сетевого доступа для рабо-
работы с сервером защиты RADIUS.
Настройка связи между маршрутизатором и сервером RADIUS.
Применение команд ААА для определения списка методов аутентификации и авто-
авторизации RADIUS.
Использование команд линий и интерфейсов, активизирующих применение выбран-
выбранных списков методов.
10. Опишите стадии аутентификации/авторизации процесса двойной аутентификации?
На первой стадии с помощью средств CHAP (или РАР) выполняется аутентификация
удаленного хоста, а затем по протоколу РРР ведутся переговоры с сервером АЛА, чтобы
авторизовать удаленный хост (в результате чего присваиваются привилегии сетевого дос-
доступа). На второй стадии удаленный пользователь должен подключиться по протоколу
Telnet к локальному хосту (серверу сетевого доступа) и пройти процедуру аутентификации
с помощью средств ААА при входе в систему. Затем пользователь должен ввести команду
access-profile, чтобы снова пройти авторизацию с применением средств ААА.
Глава 7
1. Сформулируйте задачи системы защиты периметра.
Защита периметра сети, реализация политики внешней защиты и управление трафи-
трафиком с помощью брандмауэра.
2. Укажите компоненты, из которых состоит система защиты периметра, и кратко
опишите функции, которые эти компоненты должны выполнять.
Маршрутизатор периметра является первой линией защиты. ДМЗ, определенная
маршрутизатором периметра, образует относительно защищенную область. Один или
несколько бастионных узлов обеспечивают сервис Web, FTP, электронной почты, по-
посредничества (proxy) и т.д.
3. Какие задачи выполняет маршрутизатор периметра Cisco?
Он выступает в качестве первой линии защиты, определяет ДМЗ, а также бастион-
бастионные узлы ДМЗ, защищает брандмауэр от направленных атак и выполняет роль сиг-
сигнализации для системы периметра. Его гибкая конфигурация адаптируется к новым
угрозам защиты и новым Internet-приложениям, что является отражением широких
возможностей программного обеспечения Cisco IOS, к которым относятся специаль-
специальные средства защиты периметра и брандмауэр.
4. Где и с какой целью используется команда ip route 0.0.0.0 0.0.0.0
172.16.100.2 в системе защиты периметра?
Команду ip route можно использовать в маршрутизаторе периметра для того, чтобы
указать (статический) маршрут по умолчанию к сети поставщика услуг Internet и тем
самым обеспечить защиту от атак изменения маршрутизации и атак перехвата сооб-
сообщений при использовании протоколов динамической маршрутизации.
5. Какие команды Cisco IOS Software следует использовать для управления сервиса-
сервисами TCP/IP в маршрутизаторе периметра, чтобы блокировать запросы отклика и
finger из Internet?
Приложение Г. Ответы на контрольные вопросы 735

Команды по service tcp-small-servers и no service udp-snall-servers.
6. Какие команды Cisco IOS Software можно использовать для того, чтобы не допус-
допустить использования маршрутизатора периметра в качестве широковещательного
усилителя в распределенных атаках блокирования сервиса?
Для того чтобы отключить возможности управляемого широковещания IP, следует
использовать команду no ip directed-broadcast.
7. Какие адреса следует фильтровать во входящем трафике маршрутизатора пери-
периметра, чтобы обеспечить защиту от атак фальсификации IP-адресов?
Общедоступные адреса RFC 1918, адреса источников, совпадающие с адресами
внутренней сети, адреса сервисов или портов, которые вы хотите запретить специ-
специально (например SNMP, traceroute или TFTP), а также адреса, указанные в доку-
документе RFC 2827.
8. Какие списки доступа используются для защиты типа замка?
Динамические списки доступа.
9. Назовите шесть команд, которые следует использовать для настройки динамиче-
динамических средств NAT в маршрутизаторе периметра.
ip nat pool имя начальный-хр-адрес конечный-ip-адрес
access-list
ip nat inside source list
interface тип число
ip nat inside {интерфейсная команда)
ip nat outside (интерфейсная команда)
10. Почему важно регистрировать события маршрутизатора периметра в сервере syslog?
Чтобы собрать данные, которые могут оказаться полезными при анализе сетевых
атак и могут помочь при обнаружении таких атак.
Глава 8
1. Какие четыре возможности защиты предлагает система СВАС?
Любые четыре из следующего списка: защита с помощью фильтра на уровне прило-
приложений, поддержка усовершенствованных протоколов, управление загрузкой аплетов
Java, обнаружение атак блокирования сервиса и защита от них, получение извеще-
извещений об опасности в реальном масштабе времени, регистрация транзакций TCP/UDP
и администрирование.
2. Из каких шагов состоит процесс настройки СВАС?
Выбор интерфейса.
Настройка списков доступа IP для интерфейса.
Установка глобальных пороговых значений.
Выбор правила проверки.
Применение правила проверки к интерфейсу.
736 Часть VII. Приложения

Тестирование и контроль СВАС.
3. Какую команду следует применить для проверки пакетов протокола прикладного
уровня?
debug ip inspect protocol
4. Может ли система СВАС проверять IP-трафик протоколов TCP, UDP и ICMP?
Нет. Средства СВАС доступны только для IP-трафика TCP и UDP.
5. Какая команда активизирует отображение сообщений аудита на экране консоли
по завершении каждого сеанса СВАС?
ip inspect audit-trail
6. Могут ли средства СВАС блокировать вредоносные аплеты Java в файлах формата jar?
Нет. Средства СВАС не могут блокировать аплеты Java, инкапсулированные в фай-
файлы формата .zip или Jar.
7. Являются ли правила проверки обязательным компонентом СВАС?
Да. Если для протокола (или Java) правило проверки не задано, система СВАС будет
соответствующие объекты игнорировать.
8. С помощью какой команды задается число (например, 250) полуоткрытых сеансов, по
достижении которого система СВАС должна начать удаление таких сеансов?
ip inspect шах-incomplete high 250
9. Какие три категории команд debug используются для отладки СВАС?
Общие, транспортного уровня и прикладного уровня.
10. Если средства СВАС используются в брандмауэре, размещенном между двумя
маршрутизаторами, то сможет ли система СВАС проверять пакеты IPSec?
Система СВАС не будет проверять пакеты, так как номер протокола в IP-заголовке
пакета IPSec не соответствует ни TCP, ни UDP (система СВАС проверяет только
пакеты TCP и UDP).
Глава 9
1. Что такое фильтрация на основе информации о состоянии соединений?
Фильтрация на основе информации о состоянии соединений представляет собой за-
защищенный метод анализа пакетов данных, предполагающий сохранение подробной
информации о пакете в некоторой таблице.
2. Какая операционная система используется в брандмауэре PIX Firewall?
В брандмауэре PIX Firewall используется встроенная защищенная операционная сис-
система реального времени.
3. Какой процессор используется в брандмауэре PIX Firewall?
Процессор Intel класса Pentium.
4. Как в брандмауэре PIX Firewall обрабатываются входящие соединения?
Входящие соединения запрещаются, если только они не разрешены специально.
Приложение Г. Ответы на контрольные вопросы 737

5. Почему сквозная опосредованная аутентификация пользователей оказывается
предпочтительнее традиционной аутентификации с применением стандартного
proxy-сервера?
Сквозная опосредованная аутентификация пользователей лучше и быстрее, посколь-
поскольку по завершении аутентификации средства ASA перемещают поток данных сеанса
на сетевой уровень.
6. Что означает аббревиатура ASA?
Адаптивный алгоритм защиты (Adaptive Security Algorithm).
7. Сколько интерфейсов может иметь брандмауэр PIX Firewall?
Это зависит от модели и имеющейся лицензии.
8. Какие операции будут выполнены в результате ввода следующих команд?
PIXx{config)jf interface ethernetO auto
PlXx(config)t interface ethernetl auto
PlXx(config)t interface ethernet2 auto
Будет сконфигурировано три интерфейса Ethernet 10/100 с автоматическим опреде-
определением скорости передачи.
9. В каком командном режиме выполняется команда show version?
"Хитрый" вопрос. Команда выполняется как в непривилегированном, так и в приви-
привилегированном режиме. Все команды непривилегированного режима работают и в при-
привилегированном режиме. Эта команда работает также в режиме конфигурации.
10. Из пары сообщающихся интерфейсов каким считается интерфейс с меньшим
значением уровня безопасности?
Внешним.
Глава 10
1. С какой целью используются средства NAT брандмауэра PIX Firewall при доступе
к Internet?
• Чтобы не зависеть от ограничений, накладываемых на номера Internet-портов.
• Чтобы не зависеть от ограничений, накладываемых на Internet-адреса.
• Чтобы обеспечить независимость сети.
• Чтобы обеспечить полную тайну и защиту.
Чтобы не зависеть от ограничений, накладываемых на Internet-адреса.
2. Какая из следующих команд обеспечивает трансляцию всех внутренних адресов
сети 10.1.0.0 в глобальные адреса?
• global (outside) I 192.168.1.128-192.168.1.254 netmask 255.255.255.0
nat (inside) 1 10.1.0.0 255.255.0.0
• global (inside) 1 192.168.1.128-192.168.1.254
nat (outside) 1 10.1.0.0 255.255.0.0
• inside 1 192.168.1.128-192.168.1.254
nat 1 10.1.0.0 255.255.0.0
738 Часть VII. Приложения

• outside 1 192.168.1.128-192.168.1.254
inside 1 10.1.0.0 255.255.0.0
global (outside) 1 192.168.1.128-192.168.1.254 netmask 255.255.255.0
nat (inside) 1 10.1.0.0 255.255.0.0
3. Что позволяет выполнить команда nat 0?
Отключить трансляцию адресов, чтобы внутренние IP-адреса оставались видимыми извне.
4. Следует ли использовать средства PAT при доступе к мультимедиа-приложениям
через брандмауэр PIX Firewall?
Нет.
5. Чем отличается трансляция NetBIOS от трансляции адресов TCP/IP?
Трансляция NetBIOS не имеет числового представления адреса источника.
6. Что делает команда established?
Разрешает соединения с внутренними хостами извне для определенных портов.
7. Что делает команда static?
Создает статическое отображение (называемое сегментом статической трансляции или
объектом xlate) между глобальным (внешним) н локальным (внутренним) IP-адресами.
8. Какая команда ограничивает число частично открытых соединений?
em_limit.
9. Что делает команда conduit?
Разрешает или запрещает соединениям, создаваемым извне по отношению к бранд-
брандмауэру PIX Firewall, иметь доступ к портам TCP и/или UDP хостов внутренней сети.
10. В каком порядке обрабатываются команды conduit permit и deny?
• В порядке их появления в списке конфигурации PIX Firewall.
• В порядке, основанном на значениях IP-адресов.
• В порядке, основанном на значениях адресов портов.
• Ни в одном из упомянутых выше.
В порядке их появления в списке конфигурации PIX Firewall.
Глава 11
1. Каковы преимущества использования множества интерфейсов периметра?
Расширение платформы и усиление политики защиты.
2. Какая команда заменила команды aaa-tacacs и aaa-radius в новых версиях
брандмауэра PIX Firewall?
ааа-server.
3. Сколько тегов групп позволяет использовать программное обеспечение брандмау-
брандмауэра PIX Firewall и как много серверов разрешается в каждой группе ААА?
16 тегов групп, 16 серверов для каждого тега группы.
Приложение Г. Ответы на контрольные вопросы 739

4. При добавлении, модификации или удалении операторов global какую команду
следует ввести сразу же после сохранения конфигурации?
clear xlate.
5. Сколько операторов conduit может поддерживать брандмауэр PIX Firewall?
8000.
6. Какой протокол и номер порта для сообщений syslog используются по умолча-
умолчанию?
UDP, порт 514.
7. Сколько типов пакетов ICMP различают средства фильтрации брандмауэра PIX
Firewall?
18.
8. Куда по умолчанию посылаются контрольные сообщения?
На консольный порт.
9. Сколько различных уровней защиты можно присвоить интерфейсам?
101 — от 0 до 100.
10. Когда пользователь из Internet начинает сканирование сети с помощью средств
ping, пакеты какого типа регистрируются (и, возможно, отвергаются) брандмау-
брандмауэром PIX Firewall?
Запросы отклика (ICMP echo).
Глава 12
1. Как называются TCP-соединения, не завершившие трехшаговую процедуру кви-
квитирования?
Зарождающимися.
2. Как обновить образ программного обеспечения брандмауэра PIX Firewall 515 вер-
версии 5.1.2 и более поздних версий?
Необходимо загрузить образ программного обеспечения PIX Firewall 515 с узла ССО,
разместить этот образ на сервере TFTP и ввести команду copy tftp flash.
3. Допускает ли WebSENSE фильтрацию FTP?
Нет.
4. Какой уровень серьезности связан с сообщениями syslog для URL и FTP?
Уровень серьезности 7.
5. Как часто посылают сообщения hello устройства обработки отказов брандмауэра
PIX Firewall?
Каждые 15 секунд.
6. Какие три элемента требуются для того, чтобы заставить работать систему пол-
полномасштабной обработки отказов между двумя брандмауэрами PIX Firewall?
740 Часть VII. Приложения

Лицензия на использование программного обеспечения, последовательный кабель об-
обработки отказов PIX Firewall и выделенный интерфейс Fast Ethernet для управляю-
управляющих сообщений.
7. В какой версии программного обеспечения брандмауэра PIX Firewall впервые
была реализована поддержка туннелей IPSec для сетей VPN?
В версии 5.0.
8. С какими двумя номерами портов связывается использование пакетов SNMP?
ТСР/161 для запросов конфигурации/информации н UDP/162 для прерываний и воз-
возвращаемых сообщений
9. Какие каналы (разрешения команды conduit) необходимы для того, чтобы позво-
позволить сеансам РРТР пройти через брандмауэр PIX Firewall к внутреннему серверу
Microsoft Windows NT Server?
Канал, открывающий TCP/1723 для управляющих сообщений, и канал для пакетов GRE.
10. Сколько различных протоколов допускает команда f ixup? Какие это протоколы?
В настоящее время поддерживается шесть протоколов: FTP, HTTP, H323, RSH,
SMTP н SQLNET.
Глава 13
1. Какие две проблемы защиты решаются с помощью технологии шифрования?
Лроблема перехвата, с которой связана угроза сбора и кражи передаваемой инфор-
информации, а также проблема манипуляции данными, с которой связана угроза захвата
сеанса н возможность отрицания факта передачи или приема сообщения.
2. Из каких основных компонентов состоит шифрование?
Данные, которые необходимо зашифровать, алгоритмы шифрования и дешифрова-
дешифрования, ключи шифрования н данные, которые требуется расшифровать.
3. Каким образом технология шифрования обеспечивает защиту связей в Internet,
между сетями или внутри сети?
Технология шифрования обеспечивает защиту связей, проходящих через открытые
структуры типа Internet, гарантируя конфиденциальность и целостность данных, а
также невозможность отрицания фактов передачи н приема сообщений.
4. Какие три свойства потока обеспечиваются шифрованием?
Конфиденциальность данных (с помощью шифрования н дешифрования), целост-
целостность данных (посредством аутентификации данных и устройств), а также невоз-
невозможность отрицания факта передачи н приема сообщения (что позволяет доказать,
что связь действительно имела место).
5. Какие технологии шифрования использует компания Cisco в рамках СЕТ?
Стандарт DES, чтобы обеспечить конфиденциальность данных, стандарт DSS, чтобы
обеспечить целостность данных н невозможность отречения, алгоритм хэширования
MD5, чтобы обеспечить целостность данных, и алгоритм Днффн-Хеллмана, чтобы
обеспечить возможность защищенного согласования ключей.
6. Для чего в СЕТ используется алгоритм DES?
Приложение Г. Ответы на контрольные вопросы 741

Алгоритм DES, стандартный алгоритм шифрования, является основным методом
шифрования и дешифрования данных.
7. Какой длины ключи DES поддерживаются в рамках СЕТ и почему длина ключа
оказывается важным параметром?
СЕТ поддерживает 40- и 56-битовые ключи DES. Чем больше длина ключа, тем бо-
более защищенными оказываются данные.
8. Как в продуктах Cisco используется алгоритм MD5 хэширования сообщений?
Алгоритм MD5 используется для аутентификации данных. Этот алгоритм хэширова-
хэширования сообщений используется стандартом DSS.
9. Как в СЕТ используется алгоритм DSS?
DSS используется для аутентификации обмена данньши и аутентификации шифрую-
шифрующих маршрутизаторов сообщающихся сторон, чтобы не допустить проведения атак
манипуляции данными.
10. Как в СЕТ используется алгоритм Диффи-Хеллмана?
Алгоритм Диффи-Хеллмана применяется для создания общих секретных ключей, ис-
используемых сторонами в алгоритме DES. Процесс создания ключей с помощью алго-
алгоритма Диффи-Хеллмана оказывается защищенным, а значения самих ключей нико-
никогда не передаются по сети.
Глава 14
1. Какие три типа криптографических модулей используются в маршрутизаторах Cisco?
Криптографический модуль Cisco IOS, криптографический модуль У1Р2-40 и крип-
криптографический модуль ESA.
2. Какая команда используется для создания открытого и личного ключей маршру-
маршрутизаторов сообщающихся сторон?
crypto key generate dss.
3. Какую из следующих команд нужно ввести первой в маршрутизаторах сторон при
обмене открытыми ключами DSS?
crypto key exchange dss ip-адрес имя [tcp-порт]
crypto key exchange dss passive
Следует ввести команду crypto key exchange dss passive в маршрутизаторе пас-
пассивной стороны.
4. Какую команду следует использовать для определения глобальной политики
шифрования?
crypto cisco algorithm des | 40-bit-des.
5. Какая из следующих команд определяет и контролирует сеансовую политику
шифрования?
crypto key generate dss
crypto key exchange dss
crypto map
access-list
742 Часть VII. Приложения

Сеансовая политика шифрования определяется командой crypto шар.
6. Как задать трафик и адреса хостов и подсетей, инициирующие сеанс шифрования?
Выбор трафика осуществляется с помощью списков шифрованного доступа (являющихся
расширенными списками доступа IP), применяемых к криптографическим картам.
7. Какую команду можно использовать для тестирования установки шифрованного
соединения между маршрутизаторами?
test crypto initiate session.
8. Какую команду можно использовать для проверки того, что пакеты действитель-
действительно шифруются?
show crypto engine connections active.
9. Какую команду следует использовать для проверки шестнадцатеричных значений
открытых ключей DSS в маршрутизаторе?
show crypto key pubkey-chain dss паше имя.
10. Какие три команды отладки доступны для проверки настроек СЕТ?
debug crypto key-exchange, debug key-exchange и debug crypto sesmgmt.
Глава 15
1. На какие два главных протокола опирается IPSec и какие сервисы обеспечивает
каждый из этих протоколов?
АН обеспечивает аутентификацию данных, их целостность, а также ограниченные
возможности обнаружения воспроизведения сообщений; ESP обеспечивает конфи-
конфиденциальность, аутентификацию и целостность данных, а также ограниченные воз-
возможности обнаружения воспроизведения сообщений.
2. Какой из важных сервисов IPSec не обеспечивается протоколом АН?
АН не обеспечивает конфиденциальность данных, поскольку предполагает отправку
содержимого пакета в открытом виде и поэтому не шифрует порцию полезного груза.
3. В чем состоит различие между способами использования туннельного и транс-
транспортного режимов?
Туннельный режим обычно используется для связи между шлюзами IPSec или между
хостом IPSec и шлюзом IPSec. Транспортный режим обычно используется для связи
между хостами IPSec.
4. Что такое ассоциация защиты IPSec и как она создается?
Ассоциации защиты IPSec представляют собой устанавливаемые сторонами IPSec соеди-
соединения, определяющие совокупность сервисов IPSec, доступных сообщающимся сторонам.
Ассоциации защиты IPSec создаются во второй фазе IKE (быстрый режим).
5. Можно ли настроить конфигурацию IPSec без использования IKE?
Да, параметры ассоциации защиты IPSec можно указать вручную, но этого делать не
рекомендуется, поскольку процесс ручной настройки оказывается непростым и ведет
к дополнительным трудностям при масштабировании.
6. В чем заключаются преимущества использования IKE?
Приложение Г. Ответы на контрольные вопросы 743

Открывается возможность динамической аутентификации сторон.
Исключается необходимость вручную опнсывать все параметры ассоциаций защиты
IPSec для обеих сторон.
Создаются сеансовые ключи.
Разрешается менять ключи шифрования в ходе сеансов IPSec.
Появляется возможность использовать в рамках IPSec сервис защиты от воспроизве-
воспроизведения сообщений.
Обеспечивается поддержка центров сертификации, что открывает возможности
управления н масштабирования IPSec.
7. Что инициирует начало процесса IKE?
Процесс IKE (и IPSec) начинается тогда, когда в соответствии с реализуемой поли-
политикой IPSec система обнаруживает трафнк, подлежащий шифрованию.
8. Каковы цели второй фазы IKE?
Вторая фаза IKE (быстрый режим) используется для того, чтобы договориться о пара-
параметрах и установить ассоциации защиты IPSec, чтобы периодически снова согласовывать
параметры ассоциаций защиты и материал для ключей, а при необходимости выполнять
обмен Диффи-Хеллмана в ходе повторного согласования ассоциаций защиты.
9. Что является главной целью использования центра сертификации?
Центр сертификации является третьей стороной, используемой для проверки откры-
открытых ключей участвующих в обмене сторон IPSec.
10. Назовите пять основных шагов процесса IPSec?
Выявление трафика, инициирующего процесс IPSec.
Первая фаза IKE.
Вторая фаза IKE.
Передача данных.
Завершение работы туннеля IPSec.
Глава 1 б
1. Какая политика IKE (первая фаза) принимается по умолчанию?
Алгоритм шифрования — DES
Алгоритм хэширования — стандарт защищенного хэширования (SHA)
Метод аутентификации — подпись RSA
Группа Диффи-Хеллмана — #1 G68 бит)
Предел времени существования — 86400 секунд, отсутствие ограничений по объему.
2. Почему для просмотра политик IKE нужно использовать команду show crypto
isakmp policy, а не команду show running-conf ig?
Команда show crypto isakmp policy отображает значения параметров как созданной по-
политики, так и политики, принятой по умолчанию, а команда show running-conf ig —
только данные созданной политики, но не политики, принятой по умолчанию.
744 Часть VII. Приложения

3. Какие протоколы и порты должны быть доступны для интерфейса, использую-
использующего IPSec?
Протокол 50 для ESP, протокол 51 для АН и UDP-порт 500 для IKE.
4. Как активизировать IKE для одного конкретного интерфейса?
Активизировать или отключить IKE для одного конкретного интерфейса иевозможно.
IKE включается или отключается для всех интерфейсов одновременно. Можно за-
запретить IKE-связь для конкретного интерфейса с помощью списка доступа, запре-
запрещающего использование UDP-порта 500.
5. Сколько преобразований ESP можно определить одновременно?
В одном наборе преобразований можно определить не более двух преобразований ESP.
6. Где можно указать предел времени существования ассоциации защиты IPSec?
Предел времени существования ассоциации защиты IPSec можно определить глобально с
помощью команды crypto ipsec security association lifetime или задать его в крип-
криптографической карте с помощью команды set security-association lifetime.
7. Какая команда используется для того, чтобы определить трафик, подлежащий
защите?
Используйте расширенные списки доступа IP с командой access-list, применяемые
в криптографических картах.
8. Как применить криптографическую карту к интерфейсу?
Войдите в режим конфигурации интерфейса и используйте команду crypto шар имя-
карты.
9. Когда инициализируются ассоциации защиты IPSec при настройке IKE?
Когда криптографическая карта применяется к интерфейсу с помощью команды
crypto map.
10. Вы считаете, что IPSec работает неправильно. Проверив конфигурацию, вы не
смогли определить причину возникновения проблемы. Что вам делать дальше?
Включите вывод сообщений отладки IKE и IPSec и выясните, где появляются проблемы.
Глава 17
1. Укажите преимущества и недостатки использования согласованных общих клю-
ключей для аутентификации.
Преимущество использования заранее согласованных общих ключей заключается в
простоте конфигурации. Недостатком является ограниченные возможности масшта-
масштабирования, поскольку приходится вводить значения общих ключей в устройства каж-
каждой из сторон IPSec.
2. Какая команда используется для ввода общих ключей?
isakmp key строка-ключа
3. Как можно увидеть параметры политик IKE в конфигурации брандмауэра PIX?
С помощью команд write terminal, show isakmp или show isakmp policy.
4. Как активизировать IKE для одного интерфейса?
Приложение Г. Ответы на контрольные вопросы 745

Активизировать IKE для конкретных интерфейсов можно с помощью команды crypto
map имя-карты interface имя-ивтерфейса.
5. Сколько преобразований может быть определено в одном наборе?
В одном наборе можно определить ие более одного преобразования АН и не более
двух преобразований ESP.
6. Как задать пределы существования ассоциации защиты IPSec в брандмауэре PIX
Firewall?
Можно определить глобальные значения пределов существования ассоциаций защиты
IPSec с помощью команды crypto ipsec security association lifetime, а можно
задать эти значения с помощью команды crypto map, используя опцию set
security-association lifetime.
7. Какая команда используется для определения трафика, подлежащего защите?
Используйте для этого список доступа, который преобразуется в список шифрован-
шифрованного доступа в результате его применения к криптографической карте.
8. Когда инициализируются ассоциации защиты IPSec при использовании IKE?
Когда с помощью команды crypto map имя-карты interface имя-иитерфейса крип-
криптографическая карта применяется к интерфейсу.
9. Как можно увидеть информацию о событиях IKE, происходящих при обмене ме-
между сторонами IPSec?
Используйте команду debug crypto isakmp, чтобы активизировать вывод информа-
информации о событиях IKE.
10. Почему IKE не удается успешно завершить согласование общих ключей для сле-
следующих примеров конфигурации?
PIX1 PIX2
crypto isakmp policy 100 crypto isakmp policy 100
authentication rsa-sig authentication rsa-sig
group 2 group 1
lifetime 5000 lifetime 5000
crypto isakmp policy 200 crypto isakmp policy 200
hash md5 authentication rsa-sig
authentication pre-share lifetime 10000
crypto isakmp policy 300 crypto isakmp policy 300
authentication rsa-encr hash sha
lifetime 10000 authentication pre-share
Стороны имеют различные политики IKE.
Глава 18
1. Каковы преимущества использования сервера СА для аутентификации сторон IPSec?
Преимущество использования сервера СА заключается в появлении возможности
масштабирования сети IPSec без необходимости вручную вводить ключи шифрования
для каждой новой стороны.
746 Часть VII. Приложения

2. Какие поставщики предлагают серверы СА в виде программного обеспечения, кото-
которое устанавливается и управляется конечным пользователем и способно взаимодейст-
взаимодействовать с устройствами VPN компании Cisco в рамках протокола SCEP?
Entrust, Baltimore и Microsoft.
3. Какой метод аутентификации IKE используется для поддержки СА?
Как в маршрутизаторах Cisco, так и в брандмауэрах PIX Firewall методом аутенти-
аутентификации IKE, применяемым при поддержке сервера СА, является использование
подписей RSA.
4. Как увидеть информацию о сертификатах СА в конфигурации маршрутизатора?
С помощью команды show crypto ca certificates.
5. Требуется ли для поддержки сервера СА какая-то специальная конфигурация IPSec?
Ничего другого, кроме указания ipsec-isakmp, чтобы активизировать использование
IKE для аутентификации, не требуется.
6. Когда обязательно нужно использовать динамические криптографические карты?
Используйте динамические криптографические карты в маршрутизаторах Cisco и
брандмауэрах PIX Firewall, которые должны выступать в качестве конечных точек
туннелей удаленного доступа для большого числа клиентов VPN.
7. Какова общая процедура настройки динамических криптографических карт в
брандмауэре PIX Firewall?
Настройте параметры динамической карты (в частности, укажите наборы преобразо-
преобразований и список доступа), примените динамическую карту к статической криптогра-
криптографической карте, а статическую криптографическую карту — к интерфейсу.
8. Когда следует использовать режим IKE mode config?
Используйте режим IKE mode config в маршрутизаторах Cisco и брандмауэрах PIX
Firewall, которые должны выступать в качестве конечных точек туннелей удаленного
доступа для большого числа клиентов VPN, когда клиентам VPN их IP-адреса долж-
должны динамически присваиваться удаленным сервером.
9. Насколько полезна расширенная аутентификация IKE в условиях топологии уда-
удаленного доступа, инициатором которой выступает клиент VPN?
Расширенная аутентификация IKE усиливает защиту, добавляя в процесс IKE аутен-
аутентификацию пользователя.
10. Какая команда используется для настройки возможностей распознавания конеч-
конечных точек туннелей?
Команда crypto шар имя-карты порядк-вомер ipsec-isakmp dynamic имя-дивамич-карты
[discover], используемая после настройки динамической криптографической карты.
Приложение Г. Ответы на контрольные вопросы 747

Предметный указатель
3DES, 520
ААА (аутентификация, авторизация и
аудит), 135
ACS (сервер управления доступом), 208
АН (заголовок аутентификации), 520
AppleTalk, 136
ARAP (протокол удаленного доступа
AppleTalk), 138; 198
ARP (протокол разрешения адресов),
323; 428
ASA (адаптивный алгоритм защиты), 306
В
BDC (резервный контроллер домена),
199
BGP (пограничный межсетевой прото-
протокол), 97; 112; 117; 715
Blacklce Defender, 400
Blacklce Pro, 400
ВООТР (протокол начальной самоза-
самозагрузки), 717
BRI (интерфейс базового уровня), 138
СА (центр сертификации), 461; 542
CAR (согласованная скорость доступа),
253
СВАС (управление доступом на основе
контекста), 55; 242; 274
CEF (скоростная передача Cisco), 253
СЕТ (технология шифрования Cisco),
449; 467
CFB (шифрованная обратная связь), 459;
474
CGI (обший шлюзовой интерфейс), 55
CHAP (протокол аутентификации с
предварительным согласованием вы-
вызова), 138; 145; 198
Cisco IOS (операционная система Cisco
для объединенной сети), 346
Cisco IOS Firewall, 241; 245; 273
Cisco NAS (сервер сетевого доступа), 196
Cisco PIX Firewall. См. PIX Firewall
CiscoSecure ACS, 169
для UNIX, 171; 212
для Windows NT, 170; 196
CiscoSecure GRS (сервер глобального ро-
уминга), 169; 172
CiscoSecure IDS (система обнаружения
вторжений), 41
CiscoSecure Integrated Software. См. Cisco
IOS Firewall
CiscoSecure PIX Firewall. См. РГХ Firewall
CiscoSecure Policy Manager. См. CSPM
CiscoSecure Scanner, 71
CiscoWorks, 426
CLI (интерфейс командной строки), 290
ClickStart, 119
CLID (идентификация линии вызываю-
вызывающего абонента), 199
ConfigMaker, 291
COPS, 72
CRL (список отзыва сертификатов), 545
CSIS (CiscoSecure Integrated Software).
См. Cisco IOS Firewall
CSNT (CiscoSecure ACS для Windows
NT), 196
CSNT User Database, 204
CSPM (менеджер политики защиты), 436
CSU/DSU (модуль обслуживания канала
и данных), 83
CSUNIX (CiscoSecure ACS для UNIX),
212
CSV (разделенные точкой с запятой зна-
значения), 200

D
H
DES (стандарт шифрования данных),
257; 467; 520
DH (алгоритм Диффи-Хеллмана), 257
DHCP (протокол динамической конфи-
конфигурации хоста), 83; 533; 662
DNS (служба имен доменов), 44; 244
DNS Guard, 373
DNSDC, 717
DSM (диспетчер распределенных сеан-
сеансов CiscoSecure), 213
DSS (стандарт цифровой подписи), 257;
451
Е
ECRA (экспортное соответствие и регу-
регулирование), 504
EGP (протокол внешней маршрутиза-
маршрутизации), 117
EIGRP (протокол внутреннего шлюза
Cisco), 112
Enterprise Plus, 468
Entrust/PKI, 546
ESA (криптографический сервис-
адаптер), 468
ESP (включающий защиту полезный
груз), 520
ESP НМАС, 524
FQDN (полностью определенное домен-
доменное имя), 638
FRAD (устройство доступа с ретрансля-
ретрансляцией кадров), 83
FTP (протокол передачи файлов), 244;
715
G
gopher, 244
GRE (общая инкапсуляция для маршру-
маршрутизации), 435; 514
HINFO (запись информации об узле), 44
НМАС (хэшированный код аутентично-
аутентичности сообщения), 520; 537
HSRP (резервный протокол маршрути-
маршрутизации), 428
HTTP (протокол передачи гипертексто-
гипертекстовых файлов), 244
HTTPS (протокол защищенной передачи
гипертекстов), 454
I
IANA (центр распределения идентифи-
идентификаторов Internet, 387
ICMP (протокол контроля сообщений в
Internet), 43
IDENT, 715
IEN116, 717
IETF (проблемная группа проектирова-
проектирования Internet), 154; 515
IKE (обмен Internet-ключами), 516
InterNIC (сетевой информационный
центр Internet), 369; 695
IP (протокол межсетевого взаимодейст-
взаимодействия), 108
IPSec (набор стандартов защиты обмена
данными), 257
IPX (межсетевой пакетный обмен), 136;
694
IP-адрес, 694
IRE Model HS Remote Encryptor, 455
ISAKMP (протокол управления ассоциа-
ассоциациями и ключами защиты в Internet),
516; 531; 602
ISDN (цифровая сеть связи с комплекс-
комплексными услугами), 137
ISM (интегрированный модуль сервиса),
432
ISP (поставщик услуг Internet), 675
К
KDC (центр распределения ключей), 164
Kerberos, 164
KINIT (клиент Kerberos), 166
Предметный указатель
749

о
L2F (продвижение данных на канальном
уровне), 199; 435; 514
L2TP (протокол туннелирования каналь-
канального уровня), 435; 514
LDAP (облегченный протокол службы
каталогов), 199
м
MAC (протокол управления доступом к
передающей среде), 121
МАС-адрес, 121
Mail Guard, 369
MD5 (алгоритм хэширования), 520
MIB (база управляющей информации),
106; 426
МОР (протокол операций сопровожде-
сопровождения), 114
МРРС (канальное сжатие Microsoft), 434
МРРЕ (канальное шифрование
Microsoft), 434; 514
MS-CHAP (протокол аутентификации
Microsoft), 145; 198
N
NASI (интерфейс сервера доступа
NetWare), 138
NAT (трансляция сетевых адресов), 257
NDS (служба каталогов Novell), 200
NetBIOS (сетевая базовая система ввода-
вывода), 717
Network Toolbox, 44
NIC (сетевой информационный центр),
258; 715
NMS (система сетевого управления), 106
NNTP (сетевой протокол передачи ново-
новостей), 244; 716
NSA (Агентство национальной безопас-
безопасности США), 530
NTP (синхронизирующий сетевой про-
протокол), 244; 717
NVRAM (энергонезависимое ОЗУ), 471
Oakley, 516; 531; 532
ODBC (открытый интерфейс доступа к
базам данных), 200
OnSite, 546
РАР (протокол аутентификации пароля),
138; 145; 198
PAT (трансляция адресов портов), 257
PDC (главный контроллер домена), 199
PDU (протокольная единица обмена),
107
PIM Auto-RP, 716
РЕК Firewall, 303
PIX Firewall Private Link, 431
PKCS #10 (стандарт криптографии с от-
открытым ключом), 544
PKCS #7 (стандарт криптографии с от-
открытым ключом), 544
PKI (инфраструктура открытых ключей),
542
PKI Plus, 546
POP (почтовый протокол), 716
РРР (протокол передачи от точки к точ-
точке), 136; 514
РРТР (протокол сквозного туннелирова-
туннелирования), 431; 514
PRI (интерфейс основного уровня), 138
PSTN (коммутируемая телефонная сеть
общего пользования), 137
QoS (качество обслуживания), 257; 275;
455
R
RA (центр регистрации), 545
RADIUS (сервис идентификации уда-
удаленных абонентов), 158
RAS (сервис удаленного доступа), 435
RAWRITE.EXE, 438
RFC (запрос комментариев), 695
750
Предметный указатель

RIP (протокол маршрутной информа-
информации), 717
RMON MIB (база МШ удаленного мо-
мониторинга), 106
RSA, 539
RSP (процессор коммутации маршру-
маршрутов), 468
S
S/Key, 141
SA (ассоциация защиты), 515
SAD (база данных ассоциаций защиты),
515
SAM (администратор учетных данных
системы защиты), 47
SAP (протокол извещения об услугах),
694
SATAN (средства системного админист-
администратора для анализа сети), 44
SCEP (упрощенный протокол регистра-
регистрации сертификатов), 544; 641
Security Resource Kit для Windows 2000,
546
SHA-1 (защищенный алгоритм хэширо-
хэширования), 520
SKEME, 531; 532
SLIP (межсетевой протокол для последо-
последовательного канала), 136
SMTP (простой протокол электронной
почты), 244; 716
SNA (стандарт сетевой архитектуры
IBM), 82
SNMP (простой протокол сетевого
управления), 106; 426; 717
SPI (индекс параметров защиты), 521
SSL (протокол защищенных сокетов),
213; 454
Swatch, 72
TACACS (система управления доступом
к контроллеру терминального досту-
доступа), 120; 154
TACACS+, 153
TCP/IP (протокол управления переда-
4eft/Internet-npoTOKon), 136
ТСР-перехват, 254
TED (распознавание конечных точек
туннелей), 665
Telnet, 244
TFTP (простейший протокол передачи
данных), 114; 718
Tiger, 72
Tripwire, 72
и
UniCERT, 546
VIР2 (универсальный интерфейсный
процессор), 452; 468
VPDN (виртуальная частная коммути-
коммутируемая сеть), 195; 199
VPN (виртуальная частная сеть), 199; 513
W
WAIS (глобальный информационный
сервер), 244
WebSENSE, 421
XAuth, 534; 664
XTACACS, 154
авторизация, 135
ААА, 148
PIX Firewall, 405
RADIUS, 160
TACACS+, 157
агент SNMP, 107
адаптивный алгоритм защиты. См. алго-
алгоритм ASA
административная дистанция, 117
администрирование CSNT, 209
алгоритм
ASA, 306
DES, 456; 530
DSS, 456
Предметный указатель
751

MD5, 456; 460; 520
SHA-1, 520
Диффи-Хеллмана, 457; 462; 535
алгоритм шифрования, 452
анализ пакетов, 44
архитектура
ААА, 135
экранированной подсети, 240
ассоциация защиты, 515
IPSec, 527
атрибуты RADIUS, 162
аудит, 135
ААА, 149
PIX Firewall, 406
RADIUS, 161
TACACS+, 157
аутентификация, 135
CHAP, 146
IKE, 532
Kerberos, 166
MD5, 111
MS-CHAP, 147
PAP, 145
PIX Firewall, 405
RADIUS, 160
S/Key, 141
TACACS+, 156
двойная, 227
источника данных, 515
локальная, 150
маршрутов, 249
опосредованная, 274
открытая, 111
по имени и паролю, 138
протокола маршрутизации, 110
соседних узлов. См. аутентифика-
аутентификация протокола маршрутизации
центра сертификации, 645
база MIB, 106
баннерные сообщения устройств, 103
бастионный хост, 244
бит
квитирования (АСК), 719
синхронизации (SYN), 719
блокирование аплетов Java, 275; 420
блокирование сервиса, 51
распределенное, 54
серверное, 55
случайное, 55
брандмауэр, 245
В
верификация подписи DSS, 462
версии RADIUS, 159
TACACS, 154
весовой коэффициент бита адреса, 695
взломщик, 39
виртуальный терминал, 104
внешние угрозы, 40
внешний адрес
глобальный, 258
локальный, 258
внешний интерфейс, 280
внутренние угрозы, 39
внутренний адрес
глобальный, 258
локальный, 258
внутренний интерфейс, 280
возможность отречения, 450
воспроизведение
сеанса связи, 57
сообщений, 56
восстановление паролей брандмауэра,
436
враждебные действия нарушителей, 49
вредоносные аплеты, 55
вторая фаза IKE, 516; 519
входной пакетный фильтр, 249
выбор модели брандмауэра, 315
выходной пакетный фильтр, 250
генератор паролей S/Key, 142
генерирование ключей RSA, 587; 640
глобальная активизация ААА, 182
группа Диффи-Хеллмана, 521
групповая маска, 698
строка SNMP, 108
752
Предметный указатель

д
двойная аутентификация, 227
двухканальный хост, 244
динамическая трансляция адресов, 259
динамическое отображение портов, 275
ДМЗ (демилитаризованная зона), 243
доступ
ping, 372
к множеству интерфейсов, 383
первичный, 46
повторный, 48
доступ SNMP
непривилегированный, 108
по спискам доступа, 109
привилегированный, 108
закрытая модель доступа, 356
запись криптографической карты, 615
запрет обработки маршрутов, 116
запрос
сертификата, 647
списка CRL, 654
захват
процессора, 54
сеанса связи, 57
защита
административного интерфейса, 94
доступа к консоли, 95
коммутаторов Ethernet, 120
маршрутизации, 247
от блокирования сервиса, 55; 252
от воспроизведения, 515
периметра сети, 239
режима EXEC, 180
удаленного доступа, 177
файлов конфигурации, 114
защита типа замка, 251
И
идентификационные карты, 139; 143
извещение SNMP, 107
изменение маршрутизации, 58
имитация. См. подтасовка данных
имя FQDN, 638
индекс SPI, 521; 527
интегрированная криптосистема, 456
интрасеть, 513
информационный запрос SNMP, 107
ИС (информационные системы), 673
К
канал доступа, 309
класс сети, 695
ключ, 452
ключ RSA, 544
специального назначения, 587
универсальный, 588
ключевое слово
any, 711
host, 711
код НМАС, 520; 537
коды сообщений ICMP, 712
команды
ааа accounting, 187; 402
ааа authentication, 183; 402
ааа authorization, 185; 402
aaa-server, 402
access-list, 488; 571; 608; 704; 709
access-list icmp, 712
access-list tcp, 714
access-list udp, 716
addressed-key, 590
age, 433
apply, 418
banner, 103
ca authenticate, 646
ca configure, 644
ca crl request, 655
ca enroll, 649
ca generate rsa, 641
ca identity, 644
ca key zeroize rsa, 659
clear arp, 333
clear crypto initiate-session, 494
clear crypto sa, 581
clear xlate, 357; 372; 392
conduit, 366; 394
copy tftp flash, 439
crypto ca authenticate, 645
crypto ca crl request, 654
crypto ca enroll, 647
Предметный указатель
753

crypto ca identity, 642
crypto cisco algorithm, 486
crypto cisco connections, 493
crypto cisco entities, 493
crypto ipsec security-association
lifetime, 570; 614
crypto ipsec transform-set, 566; 611
crypto isakmp, 561; 563
crypto isakmp key, 564
crypto key exchange dss, 479
crypto key generate dss, 475
crypto key generate rsa, 588; 640
crypto key pubkey-chain dss, 484
crypto key zeroize dss, 499
crypto key zeroize rsa, 592; 658
crypto key-timeout, 492
crypto map, 489; 574; 576; 617; 620
crypto pregen-dh-pairs, 492
debug, 210; 218; 224; 500
debug aaa, 188
debug crypto ca, 658
debug crypto ipsec, 581
debug crypto isakmp, 580
debug crypto pki, 658
debug icmp trace, 334
debug ip inspect, 289
debug packet, 334
domain-name, 639
enable password, 181
enable secret, 99
established, 359
failover ip address, 430
failover link, 430
failover timeout, 430
filter, 422
fixup protocol, 370; 424
global, 330; 347; 389
hostname, 638; 639
ICMP, 711
interface, 327; 385
ip access-group, 704
ip access-list, 721
ip address, 327
ip domain-name, 638
ip host, 639
ip inspect, 288
ip inspect name, 285
isakmp identity, 605
isakmp key, 605
isakmp policy, 603
link, 432
linkpath, 432
logging, 397
logging message, 425
name, 605; 639
named-key, 591
nameif, 323; 385
nat, 331; 347; 388; 415
nat 0, 350
outbound, 417
ping, 334
privilege level, 101
radius-server, 222
route, 311
service password-encryption, 97; 181
show, 224; 494; 498; 499
show access-list, 620
show arp, 333
show conn, 392
show crypto ca certificates, 651
show crypto ipsec sa, 577; 580
show crypto ipsec security-association
lifetime, 580
show crypto ipsec transform-set, 580;
621
show crypto isakmp, 579
show crypto isakmp policy, 565; 578
show crypto isakmp sa, 579
show crypto key mypubkey rsa, 651
show crypto key pubkey-chain dss,
496
show crypto key pubkey-chain rsa, 651
show crypto map, 580; 621
show interface, 333
show ip address, 332
show isakmp [policy], 606
show nat, 392
show version, 437
show xlate, 372; 392
snmp-server, 426
snmp-server community, 108
static, 311; 361; 393
tacacs-server, 215
telnet, 386
test crypto initiate-session, 493; 495
timeout xlate, 390
754
Предметный указатель

undebug all, 289
url-cashe, 423
url-server, 421
write, 328
write erase, 592
write memory, 392
write terminal, 607
для проверки IKE, 622
IKE и IPSec, 623
IPSec, 623
конфигурации ААА, 217; 224
непривилегированного режима
брандмауэра, 321
привилегированного режима
брандмауэра, 322
проверки параметров СА, 652
режима конфигурации брандмау-
брандмауэра, 323
управления сервисами TCP/IP, 246
управления состоянием сеансов,
282
коммутируемая сеть, 513
компоненты Kerberos, 165
контроль объявления маршрутов, 248
контрольная запись, 397
конфиденциальность данных, 450; 515
концентратор VPN, 308
кража информации, 45
криптографическая карта, 489; 572; 615
динамическая, 574; 660
криптографический модуль, 467
Cisco IOS, 468
ESA, 469
VIP2, 469
Л
лавина SYN, 375
лицензия, 318
локальная аутентификация, 150
м
мандат, 165
TGT, 166
на получение сервиса, 166
манипуляция данными, 449
маска сети, 696
метод Диффи-Хеллмана, 462
многоуровневая система привилегий, 101
множество интерфейсов, 383
модели брандмауэров РГХ, 314
модель OSI, 454
модель доступа
закрытая, 356
открытая, 356
модуль, 588
CSAuth, 203
CSDBSynch, 204
CSLog, 203
CSMonitor, 204
CSRadius, 203
CSTacacs, 203
DSM, 213
ISM, 432
мониторинг системы защиты, 70
мотивы действий нарушителя, 39
н
набор
записей криптофафической карты,
616
преобразований, 566; 611
надежный компьютер, 47
нарушитель, 39
настройка
СВАС, 279
СЕТ, 475
PAT, 261
РРТР, 434
аутентификации пользователей, 401
брандмауэра PIX, 319
входящего доступа, 357
вывода Syslog, 397
динамической трансляции, 259
защиты типа замка, 252
исходящего доступа, 356
параметров аудита ААА, 187
параметров линии, 100
профилей аутентификации ААА,
182
сетевых статик, 364
средств авторизации ААА, 185
шифрования IPSec, 548
шифрования RSA, 586
Предметный указатель
755

невозможность отречения, 451
недостатки
TCP/IP, 35
конфигурации, 37
операционных систем, 36
политики защиты, 38
сетевого оборудования, 36
непривилегированный режим, 320
несанкционированный доступ, 46
неявная маска, 705
неявный запрет всего трафика, 702
номера портов
TCP, 715
UDP, 717
О
область Kerberos, 166
обновление программного обеспечения
брандмауэра, 437
объект xlate, 357
ограничения СВАС, 278
одноразовые пароли, 139
оказия, 585
опосредованная аутентификация, 274
опция PFS, 519; 537
открытая модель доступа, 356
отречение, 58
оценка состояния защиты, 66
и
пакет синхронизации (SYN), 254
пакетный фильтр, 245
входной, 249
выходной,250
параметры политики
IKE, 550
IPSec, 552
пароли
S/Key, 139
меняющиеся со временем, 139
одноразовые, 139
статические, 139
пароли консоли, 96
для пользовательского режима, 96
для привилегированного режима,
97
пароль
enable, 95; 180
login, 95
первая фаза IKE, 516; 518
основной режим, 518
энергичный режим, 518
первичный доступ, 46
перефузка внутренних глобальных адре-
адресов, 259
перенаправление трафика, 55
переполнение буфера, 49; 55
перехват сообщений, 44; 449
плоский файл, 204
повторный доступ, 48
поддержка Kerberos приложениями, 168
подпись
DSS, 461
RSA, 532; 540
подсеть, 696
подтасовка данных, 56
политика защиты
закрытая, 81
офаничивающая, 78
открытая, 75
полуоткрытый сеанс, 284
почтовая бомба, 54
правила построения списков
доступа, 700
уровней безопасности, 324
практика защиты сетей, 73
пределы существования ассоциаций за-
защиты, 613
преобразование, 515
преодоление парольной защиты, 47
прерывание SNMP, 107
привилегированный режим, 321 См. ре-
режим enable
причины проблем защиты, 34
проблемы защиты, 91
профаммные маркеры, 139
прокси-сервер, 245
канального уровня, 245
прикладного уровня, 245
противодействие атакам
разведки, 45
удаленного доступа, 50
протокол
АН, 522
756
Предметный указатель

DHCP, 662
ESP, 523
IKE, 531
ISAKMP, 531
протоколы VPN, 514
профиль
ключа, 112; 480
сообщения, 460
процедура трехходового квитирования,
719
процессор RSP, 468
разведка, 42
развертка ping, 43
распределенные атаки блокирования
сервиса, 253
расширенная аутентификация, 534; 664
регистрация событий маршрутизатора,
262
режим
ca-identity, 642
CEF, 253
CFB, 458; 474; 531
config, 320; 322
config-crypto-map, 574
config-isakmp, 562
enable, 95; 180; 320; 321
mode config (IKE), 533; 662
privileged EXEC. См. режим enable
user EXEC, 95
конфигурации. См. режим config
резервный шлюз, 616
репликация баз данных, 202
связь между интерфейсами брандмауэра,
325
сервер сертификации, 542
сервис
Biff, 717
CSAccupdate, 202
CSAdmin, 203
CSDBSync, 202
Exec, 715
Finger, 715
Gopher, 715
sendmail, 36
Syslog, 716; 718
Talk, 716
TED, 665
Telnet, 716
Who, 718
сертификат X.509v3, 532; 544
сетевая маска, 696
статика, 364
сетевой информационный центр, 258
сетевой фильтр, 117
сеть VPN, 431; 513
сигнатура вторжения, 41; 276
синхронизация СУРБД, 202
система обнаружения вторжений, 274
сканирование портов, 43
сквозная опосредованная аутентифика-
аутентификация, 312
совершенствование системы защиты, 72
согласование
ключей, 563
набора преобразований, 569; 613
соединение, 317
сокет, 317
список CRL, 545
список доступа, 115; 693
именованный, 721
расширенный, 707
стандартный, 701
список шифрованного доступа, 570
средства
ТСР-перехвата, 254
обработки отказов, 428
перехвата сообщений, 44
средства NAT
динамические, 346
статические, 346
средства PAT, 346
стандарт DES, 467; 520; 529
стандарты базы данных защиты, 152
статика, 364
статическая карта, 309
статический маршрут, 248
стратегия резервирования, 573
схема Диффи-Хеллмана, 535
Предметный указатель
757

терминология Kerberos, 165
тестирование системы защиты, 71
технология шифрования Cisco. См. СЕТ
типы угроз безопасности, 41
трансляция
IP-адресов, 257
NetBIOS, 354
адресов портов, 352
динамическая, 259
перекрывающихся адресов, 259
транспортный режим, 524
туннель РРТР, 431
туннельный режим, 524
хост
бастионный, 244
двухканальный, 244
хэширование сообщений, 460
хэш-код, 112; 460
ц
целостность данных, 450; 515
центр
распределения ключей, 164
регистрации, 545
сертификации, 461; 542
цикл защиты, 66
угрозы
внешние, 40
внутренние, 39
удаление
ключей RSA, 592; 655
сертификатов устройства, 655
удаленная база данных защиты, 151
улей SAM, 47
управление доступом
HTTP, 119
SNMP, 106
Telnet, 104
управление сервисами TCP/IP, 246
уровни безопасности, 324
установка CSNT, 207
ключей DSS вручную, 484
уязвимость
приложений удаленного доступа, 49
сервисов удаленного доступа, 48
Ф
файл .csv, 157
фальсификация IP-адресов, 56
фильтрация сетей в пакетах маршрутиза-
маршрутизации, 115
четырехпортовая интерфейсная плата,
319
ш
шифрование, 450
СЕТ, 257
DES, 457
DSS, 460
ESP, 524
IPSec, 257
Private Link, 432
канального уровня, 455
паролей, 97
сетевого уровня, 256; 455
шифрованные
данные, 452
оказии, 585
шлюз
канального уровня, 245
прикладного уровня, 245
э
экранирующий маршрутизатор, 240
экстрасеть, 514
X
хакер, 39
758
Предметный указатель

Научно-популярное издание
Майкл Уэнстром
Организация защиты сетей Cisco
Литературный редактор Е.Д. Давидян
Верстка О. В. Линник
Художественный редактор Т.А. Тараброва
Обложка В. Г. Павлютин
Корректоры З.В. Александрова, Л.А. Гордиенко,
Л.В. Коровкина, О. В. Мишутина
Издательский дом "Вильяме".
101509, Москва, ул. Лесная, д. 43, стр. 1.
Подписано в печать 15.12.2004. Формат 70x100/16.
Гарнитура Times. Печать офсетная.
Усл. печ. л. 61,9. Уч.-изд. л. 45,5.
Доп. тираж 2000 экз. Заказ № 9005.
Отпечатано с фотоформ в ФГУП "Печатный двор"
Министерства РФ по делам печати,
телерадиовещания и средств массовых коммуникаций.
197110, Санкт-Петербург, Чкаловский пр., 15.

Организация
защиты сетей
Cisco1