Как превратить маршрутизатор cisco в межсетевой экран?

Как превратить маршрутизатор Cisco в межсетевой экран?

Сергей Кучеренко 19 сентября 2013

[email protected]

О чем мы поговорим:

§  Рекомендации по дизайну защищенных сетей

§  Продукты по обеспечению информационной безопасности Cisco, их место в

архитектуре сети

§  Функционал безопасности в Cisco IOS

§  Технология Cisco Zone Based Firewall

§  Интеграция IOS и облака ScanSafe

§  Демонстрация настройки ZBF и работы IOS ScnaSafe Connector

Дизайны и архитектуры – зачем и почему?

VS

§  Организации и отдельные люди становятся все более зависимыми от сетей

§  Угрозы усложняются, а их количество увеличивается

§  Новые тренды не делают обеспечение безопасности проще (BYOD/

Virtualizadon/Cloud)

У нас всегда есть два пути:

1. Строить по наитию 2. Опереться на лучше практики

Дизайны и архитектуры – эволюция Cisco

Cisco SAFE 2000 год: §  Модульный подход §  Многоуровневая защита §  Рекомендуемый дизайн §  Независимость от производителя §  Позволяет повысить уровень защищенности

Cisco SAFE 2009 год: §  Защищенная сеть на основе решений Cisco §  Инфраструктура маршрутизации и

коммутации как часть защиты §  Подход Self-‐Defending Network

Cisco Borderless Network 2010 год – подход к сетевой архитектуре с учётом новых трендов: §  Размытость корпоративного периметра §  Мобильные сотрудники §  Облачные сервисы §  Виртуализация

Cisco Smart Business Architecture: §  Рекомендации по проектированию различных модулей сети §  Рекомендации по настройке оборудования §  Рекомендации планированию внедрения отдельных технологий §  Рекомендации по настройке отдельных технологий

Cisco Secure-‐X Architecture – идеология, предполагающая контроль и управление доступом на основе контекста Кто? Как? Откуда? Куда? Какое приложение?

Продукты и технологии обеспечения безопасности

§  Cisco ASA – многофункциональное устройство обеспечения безопасности с поддержкой технологий Statefull Firewall/Applicadon Inspecdon/Intrusion Prevendon/High Availability/Virtualizadon/Content Security

§  Cisco IPS – сетевая система предотвращения вторжений с поддержкой сигнатурного/

репутационного/поведенческого анализа

§  Cisco Web Security Appliance – прокси-‐сервер с функционалом URL фильтрации/Malware protecdon/DLP

§  Cisco Email Security Appliance – специализированый MTA с функционалом защиты от SPAM/Viruses/Zero-‐day A�ack/DLP

§  Cisco Wireless IPS – функционал Wireless LAN Controller по предотвращению атак на беспроводную инфраструктуру

§  Cisco ISE – центральный компонент системы контекстного доступа. Выполняет Аутентификацию пользователей/оценку соответствия рабочей станции корпоративным политикам/Динамической определение типа устройства/назначение меток безопасности/

Создание и распространение ACL на основе меток

§  VPN – набор технологий, призванных обеспечить защищенное взаимодействие Сеть-‐Сеть/Устройство-‐Сеть/Устройство-‐Устройство Компоненты: §  Cisco ISR §  Cisco Catalyst/Nexus §  Cisco ASA §  AnycConect

§  Cloud Web Security – перенаправление пользовательского трафика для анализа и наложения политик в облако ScanSafe Компоненты: §  Cisco ISR §  Cisco ASA

§  Cisco TrustSec – набор технологий по предоставлению контекстного доступа. Основные элементы: Проверка рабочих станций/Доступ на основе Security Group Tag/Шифрование на L2 Компоненты: §  Cisco ISE – основная точка настройки политик §  Routers/Switches/ASA/WLC – наложение политик §  Cisco NAC Agent – проверка рабочей станции

Продукты и технологии безопасности в архитектуре сети

Ядро

Партнеры

Филиал

Удаленные работники

Управление

WAN

Cisco SIO

ЦОД

Комплекс Зданий

Внешние организации

Интернет

Ведомственная Сеть

Internet

Идентификация и авторизация пользователей и устройств

Модуль доступа в Интернет

Реализуем:

Управление доступом

§  Политики доступа между зонами доверия §  Организация и управление доступом удалённых

пользователей SSL VPN §  Политики использования WEB §  Политики использования email

Противодействие угрозам

§  Предотвращение вторжений на уровне сети §  Использование SIO для ускорения работы IPS §  Выявление аномалий §  Защита от spam §  Защита от вирусов и атак в email §  Защита от вирусов и атак в web

Cisco ASA

WSA

ESA

Cisco IPS

WSA

ESA

Модуль ведомственной сети

Реализуем:

Безопасное взаимодействие

§  GET VPN для WAN-‐взаимодействия §  DMVPN phase 3 для организации резервных каналов

через Интернет


§  Разграничение доступа ZPBFW §  Защита Management Plane и Control Plane

Cisco ISR

Cisco ISR

Модуль внешних организаций

Реализуем:


§  Политики взаимодействия с внешними организациями

§  Организация защищённых соединений


§  Предотвращение вторжений на уровне сети §  Использование SIO для ускорения работы IPS §  Выявление аномалий

Cisco ASA

Cisco IPS

Модуль Кампуса


§  Идентификация устройств и пользователей §  Наложение политик авторизации §  Сегментация сети

Реализуем:


§  Противодействие L2-‐атакам §  Контроль радиоэфира Безопасное взаимодействие

§  L2-‐шифрование

Cisco ISE

SGT ACL

Cisco Switches

Cisco WLC

MacSec

Модуль ЦОД

Реализуем:


§  Политики доступа между зонами доверия на основе групповой принадлежности пользователя

§  Управление доступом как между физическими

серверами, так и между виртуальными машинами


§  Предотвращение вторжений на уровне сети §  Использование SIO для ускорения работы IPS §  Выявление аномалий


§  L2-‐шифрование

SGT ACL

Cisco ASA

Cisco IPS MacSec

Филиал


§  Идентификация пользователей §  Разграничение доступа ZPBFW §  Защита Management Plane и Control Plane


§  GET VPN для WAN-‐взаимодействия §  DMVPN phase 3 для организации

резервных каналов через Интернет Cisco ISR

Cisco ISR


§  Предотвращение вторжений IOS IPS §  Защита web-‐доступа (ScanSafe Connector)

Cisco ISR

Удаленный пользователь


§  Аутентификация в проводных и беспроводных сетях §  Оценка здоровья рабочей станции


§  Интеграция с облаком ScanSafe


§  SSL VPN §  IPSec VPN с поддержкой IKEv2 §  L2-‐шифрование MacSec

Функционал безопасности в Cisco IOS*

* – Исключая технологии VPN ** – детально будет рассмотрен далее

§  AAA Framework – структура аутентификации, авторизации и учета, позволяющая контролировать и управлять как доступом администраторов на устройство, так и доступом пользователей сквозь устройство, применяется в большом количестве функций безопасности

§  IOS Firewall – на текущий момент IOS Zone Based Policy Firewall**

§  IOS IPS – система предотвращения вторжений встроена в IOS, имеет поддержку большого количества сигнатур

§  FPM – Flexibility Packet Matching, технология, позволяющая писать собственные сигнатуры для противодействия новым атакам

§  Authenscason Proxy – аутентификация пользователя при попытке доступа сквозь устройство с динамическим назначением прав доступа

§  IOS Foundason Protecson – набор технологий, обеспечивающий защиту операционной системы и основных функций маршрутизатора

Технология Cisco Zone Based Firewall

Современная реализация межсетевого экрана в Cisco IOS. Zone в названии означает, что администратор применяет политики доступа не между отдельными интерфейсами, а между зонами. Зона может состоять из одного и более интерфейсов. К функциям ZPF относятся: §  Statefull Firewall

§  Applicason Inspecson

§  User Based Policy

§  IP to SGT mapping on ISR

§  Transparent Firewall

§  ZBF High Availability

Statefull Firewall Функционал, обеспечивающий сохранение сессионной информации для трафика, идущего между зонами (разрешённый трафик выбирает администратор), и автоматический пропуск ответных пакетов.

Protocol Source IP Source Port Dest. IP Dest. Port Timeout

UDP 192.168.1.10 1024 1.1.1.10 53 20s

TCP 192.168.1.10 1025 1.1.1.1 80 3600s

Internet

WEB Server vk.com 1.1.1.1

DNS Server 1.1.1.10

192.168.1.10

S_IP:192.168.1.10

D_IP:1.1.1.10

D_Por:53

S_Por:1024

Data: DNS Req

S_IP:1.1.10

D_IP:192.168.1.10

D_Por:1024

S_Por:53

Data: DNS Resp

S_IP:192.168.1.10

D_IP:1.1.1.1

D_Por:80

S_Por:1025

Data: h�p req

S_IP:1.1.1

D_Por:1025

S_Por:80

Data: h�p Resp

D_IP:192.168.1.10

§  Applicason Inspecson – функционал ZBF, решающий ряд задач:

ü  Распознавание приложений – IOS знает заранее, какое приложение на каком порту искать

Администратор имеет возможность добавлять порты в стандартные приложения и создавать собственные приложения.

ü  Открытие дополнительных соединений для динамических приложений (ex: FTP/SIP…)

ü  Deep Applicadon Inspecdon – глубокая инспекция целого ряда приложений. Дает

возможность принимать решения, основываясь на информации L7 (Блокировать определенный URL/Тип файла в h�p/Почтовый ящик/…)

§  User Based Policy – функция, работающая совместно с Authendcadon Proxy и дающая возможность назначать политики на основе групповой принадлежности пользователя.

1.  При создании политик ZBF используются имена пользовательских групп и к этим

группам привязываются перечни разрешённых протоколов 2.  Пользователь начинает инициировать соединения через интерфейс, на котором

настроено правило authendcadon proxy 3.  В браузере появляется запрос на ввод login/password 4.  Ввод пользователем login/password 5.  Маршрутизатор пересылает credendals user на сервер AAA 6.  Сервер возвращает вместе с результатом аутентификации атрибут “supplicant-‐group”

§  IP to SGT mapping on ISR – технология, позволяющая интегрировать технологию Security Group Tag с ZBF. Данный функционал применяется для написания правил в межсетевом экране центрального офиса на основе SGT.

1.  Идентификация пользователя в филиале (Auth-‐Proxy or 802,1x)

2.  Информация о соответствии SGT to IP передается с маршрутизатора филиала на маршрутизатор центрального офиса

3.  При настройке ZBF на центральном роутере в качестве идентификаторов групп были использованы SGT, к каждой группе назначается список разрешённых протоколов

§  Transparent Firewall – вариант развертывания ZBF, при котором в Zone добавляются интерфейсы, принадлежащие к одной bridge-‐group

Bridge-‐Group – группа интерфейсов в IOS, при объединении в которую все, что за ними находится, попадает в единый broadcast-‐domain

§  ZBF High Availability – новый функционал, появившийся начиная с IOS 15.2(3)T, отказоустойчивость основана на технологии SSO (Statefull Switchover). При реализации ZBF HA нам доступна как схема Acdve-‐Standby, так и схема Acdve-‐Acdve

Zones: §  Zone – структура, состоящая из одного или нескольких интерфейсов §  Zone–Self – специальная зона для управления трафиком, входящим в маршрутизатор и

покидающем его §  Zone Pair – пара зон, где одна указывается как Source, а другая как Desdnadon. Политика для

прохождения трафика привязывается к zone pair

Internet 192.168.1.0/24

195.5.5.0/24

192.168.2.0/24

INSIDE zone

OUTSIDE zone

DMZ zone zone-‐pair IN_OUT source INSIDE dessnason OUTSIDE

Session Table: 192.168.1.100:1024>>>195.5.5.10:80

Check

zone-‐pair OUT_DMZ source OUTSIDE dessnason DMZ

Session Table: 195.5.5.10:1024>>>192.168.2.10:80

Check

Понятия ZBF

Policy L3/L4: §  Class Map (L3/L4) – компонент конфигурации, описывающий интересный трафик с помощью

ACL либо же указания протокола (h�p/dns…). Также может использоваться комбинация этих вариантов – в этом случае нас интересуют только данные определенных протоколов с/для определенных IP-‐адресов.

Note: Если используется только ACL, будет проводиться простая statefull инспекция без анализа приложений §  Policy Map (L3/L4) – компонент конфигурации, отвечающий за применения действий для

одного или нескольких классов Варианты действий:

ü  Inspect – выполнять инспекцию (Statefull + applicadon inspecdon если class с протокол) ü  Pass – пропустить, информация о сессии не сохраняется ü  Drop – сбросить то, что попало под этот класс. Здесь же можно добавить log ü  Police – наложить ограничение на скорость трафика, попавшего под класс ü  Service – Policy – указать для этого класса глубокую инспекцию одного из приложений.

Для глубокой инспекции используется L7 Policy Map

Policy L7: §  Class Map (L7) – поиск по специфичным для приложения параметрам (ex: HTTP -‐ URI)

§  Policy Map (L7) – политик для применения действий к L7 Class. Не для всех классов приложений есть политики. Некоторые классы приложений описываются в одной политике (ex: P2P policy для классов kazaa2/gnutella…)

Варианты действий при попадании трафика в класс: allow/log/rest

Parameter Map: §  Parameter Map Inspect – задает ограничения на соединения и управляет aler/audit-‐trail.

Parameter map применяется с помощью указания ее имени после ключевого слова inspect в L3/L4 policy map

§  Parameter Map Regex – описывает pa�erns с помощью регулярных выражений. В одной regex parameter map можно задать несколько pa�erns, между ними срабатывает правило “ИЛИ”. Далее созданные regex map используются для Match в L7 Class Map

Факты ZBF

§  Zone должна быть создана перед добавлением в нее интерфейсов

§  Интерфейс может быть добавлен только в одну Zone

§  Трафик между интерфейсам в разных Zone запрещен

§  Трафик между интерфейсам в одной Zone разрешен*

§  Чтоб трафик проходил между интерфейсам в разных Zone, для них должна быть создана

Zone pair, в которой должна быть назначена политика с действием Inspect или Pass

§  Трафик между Self Zone и всеми другими зонами неявно разрешен

* – начиная с IOS 15.0(1)M, логика изменилась. Теперь без наличия политики

трафик блокируется между интерфейсами в одной zone

§  Трафик между интерфейсом, не являющимся членом зоны, и

интерфейсами, входящими в зоны, запрещён

§  ZBF работает после NAT – это значит, что если мы описываем политику для

сервера в Inside/DMZ, адрес которого транслируется, в ACL, созданном для

политики, нужно указать inside local address (серый IP)

§  Если на интерфейсе члене Zone назначен ACL – этот ACL всегда проверяется

раньше политик ZBF. Одновременное использование ZBF и ACL не

рекомендуется

Интеграция IOS и облака ScanSafe

Начиная с версии IOS 15.2(1)T1 появилась поддержка ScanSafe Connector ScanSafe Connector –отвечает за перенаправление в облако web-‐безопасности ScanSafe пользовательского h�p и h�ps-‐трафика. При перенаправлении происходит инкапсуляция пользовательских пакетов и их зашифровка (в качестве транспорта используется SSL) Кроме перенаправления, происходит добавление информации о состоянии аутентификации пользователя (Group name/Username) Для аутентификации можно использовать базу LDAP или локальную базу данных маршрутизатора Аутентификация может происходить в двух режимах:

§  HTTP-‐Basic – при инициировании h�p/h�ps ISR перенаправляет запрос пользователя на адрес virtual-‐proxy, с этого адреса отправляется запрос на аутентификацию

§  NTLM – принцип тот же, но если пользователь выполнил вход в систему, под доменной учетной записью аутентификации проходит прозрачно

Компоненты IOS ScanSafe Connector: §  ldap-‐server – компонент конфигурации, отвечающий за подключение к серверу ldap и

хранящий параметры этого подключения §  aaa group server – компонент, объединяющий несколько серверов в группу, при настройке

правил аутентификации и авторизации, в качестве точки проверки указывается эта группа

§  aaa authenscason/aaa authorizason – правила проведения аутентификации и авторизации пользователей

§  parameter-‐map type content-‐scan – элемент конфигурации, отвечающий за подключение к облаку ScanSafe, здесь указывается: ü  Адреса серверов для подключения ü  Ключ лицензии ü  Что делать в случае отсутствия связи с облаком

§  ip admission – элемент конфигурации, управляющий аутентификацией и авторизацией пользователей.

Ведомственная Сеть

Филиал

Модели использования IOS Security

Large/Medium Enterprise Model

Ядро

Управление

WAN

Cisco SIO

ЦОД

Комплекс Зданий

Внешние организации

Интернет Internet

Филиал: §  ZBF для сегментации

внутренней сети офиса §  Аутентификация и присвоение

SGT §  ScanSafe при необходимости

минимизировать трафик через центральный офис

Центральный офис: §  ZBF на основе SGT для предоставления доступа к ресурсам

головного офиса

Small Enterprise Model

§  ZBF для сегментации внутренней сети офиса §  ZBF для контроля доступа из вне §  Authendcadon Proxy для контроля доступа на основе групповой принадлежности §  IOS IPS для защиты от атак §  ScanSafe для защиты web-‐доступа

Топология демонстрационного стенда

192.168.32.0/24 .4

.2

AD/DNS Test PC 1

Интернет

.5

192.168.100.0/24

Полезные ссылки: Пошаговая настройка ZBF (демонстрация) h�ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing Финальная конфигурация h�ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing Security Configurason Guide: Zone-‐Based Policy Firewall h�p://www.cisco.com/en/US/docs/ios-‐xml/ios/sec_data_zbf/configuradon/15-‐1mt/sec-‐data-‐zbf-‐15-‐mt-‐book.html BRKSEC-‐3007 – Advanced Cisco IOS Security Features (2012 London) h�ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Soluson Guide h�p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf Как защитить сеть от web-‐угроз с помощью Cisco WSA h�p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw Новая Cisco ASA: тотальный контроль над пользователем h�p://www.youtube.com/watch?v=2Quzk8qr06w Практические советы по выбору и настройке Cisco VPN h�p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE

И напоследок:

h�ps://www.youtube.com/user/SkillFactoryVideo

h�p://www.slideshare.net/SkillFactory

h�p://skillfactory.smepad.ru/events/

Как превратить маршрутизатор cisco в межсетевой экран?

Technology