Как превратить маршрутизатор cisco в межсетевой экран?
DESCRIPTION
TRANSCRIPT
Как превратить маршрутизатор Cisco в межсетевой экран?
Сергей Кучеренко 19 сентября 2013
О чем мы поговорим:
§ Рекомендации по дизайну защищенных сетей
§ Продукты по обеспечению информационной безопасности Cisco, их место в
архитектуре сети
§ Функционал безопасности в Cisco IOS
§ Технология Cisco Zone Based Firewall
§ Интеграция IOS и облака ScanSafe
§ Демонстрация настройки ZBF и работы IOS ScnaSafe Connector
Дизайны и архитектуры – зачем и почему?
VS
§ Организации и отдельные люди становятся все более зависимыми от сетей
§ Угрозы усложняются, а их количество увеличивается
§ Новые тренды не делают обеспечение безопасности проще (BYOD/
Virtualizadon/Cloud)
У нас всегда есть два пути:
1. Строить по наитию 2. Опереться на лучше практики
Дизайны и архитектуры – эволюция Cisco
Cisco SAFE 2000 год: § Модульный подход § Многоуровневая защита § Рекомендуемый дизайн § Независимость от производителя § Позволяет повысить уровень защищенности
Cisco SAFE 2009 год: § Защищенная сеть на основе решений Cisco § Инфраструктура маршрутизации и
коммутации как часть защиты § Подход Self-‐Defending Network
Cisco Borderless Network 2010 год – подход к сетевой архитектуре с учётом новых трендов: § Размытость корпоративного периметра § Мобильные сотрудники § Облачные сервисы § Виртуализация
Cisco Smart Business Architecture: § Рекомендации по проектированию различных модулей сети § Рекомендации по настройке оборудования § Рекомендации планированию внедрения отдельных технологий § Рекомендации по настройке отдельных технологий
Cisco Secure-‐X Architecture – идеология, предполагающая контроль и управление доступом на основе контекста Кто? Как? Откуда? Куда? Какое приложение?
Продукты и технологии обеспечения безопасности
§ Cisco ASA – многофункциональное устройство обеспечения безопасности с поддержкой технологий Statefull Firewall/Applicadon Inspecdon/Intrusion Prevendon/High Availability/Virtualizadon/Content Security
§ Cisco IPS – сетевая система предотвращения вторжений с поддержкой сигнатурного/
репутационного/поведенческого анализа
§ Cisco Web Security Appliance – прокси-‐сервер с функционалом URL фильтрации/Malware protecdon/DLP
§ Cisco Email Security Appliance – специализированый MTA с функционалом защиты от SPAM/Viruses/Zero-‐day A�ack/DLP
§ Cisco Wireless IPS – функционал Wireless LAN Controller по предотвращению атак на беспроводную инфраструктуру
§ Cisco ISE – центральный компонент системы контекстного доступа. Выполняет Аутентификацию пользователей/оценку соответствия рабочей станции корпоративным политикам/Динамической определение типа устройства/назначение меток безопасности/
Создание и распространение ACL на основе меток
§ VPN – набор технологий, призванных обеспечить защищенное взаимодействие Сеть-‐Сеть/Устройство-‐Сеть/Устройство-‐Устройство Компоненты: § Cisco ISR § Cisco Catalyst/Nexus § Cisco ASA § AnycConect
§ Cloud Web Security – перенаправление пользовательского трафика для анализа и наложения политик в облако ScanSafe Компоненты: § Cisco ISR § Cisco ASA
§ Cisco TrustSec – набор технологий по предоставлению контекстного доступа. Основные элементы: Проверка рабочих станций/Доступ на основе Security Group Tag/Шифрование на L2 Компоненты: § Cisco ISE – основная точка настройки политик § Routers/Switches/ASA/WLC – наложение политик § Cisco NAC Agent – проверка рабочей станции
Продукты и технологии безопасности в архитектуре сети
Ядро
Партнеры
Филиал
Удаленные работники
Управление
WAN
Cisco SIO
ЦОД
Комплекс Зданий
Внешние организации
Интернет
Ведомственная Сеть
Internet
Идентификация и авторизация пользователей и устройств
Модуль доступа в Интернет
Реализуем:
Управление доступом
§ Политики доступа между зонами доверия § Организация и управление доступом удалённых
пользователей SSL VPN § Политики использования WEB § Политики использования email
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий § Защита от spam § Защита от вирусов и атак в email § Защита от вирусов и атак в web
Cisco ASA
WSA
ESA
Cisco IPS
WSA
ESA
Модуль ведомственной сети
Реализуем:
Безопасное взаимодействие
§ GET VPN для WAN-‐взаимодействия § DMVPN phase 3 для организации резервных каналов
через Интернет
Управление доступом
§ Разграничение доступа ZPBFW § Защита Management Plane и Control Plane
Cisco ISR
Cisco ISR
Модуль внешних организаций
Реализуем:
Безопасное взаимодействие
§ Политики взаимодействия с внешними организациями
§ Организация защищённых соединений
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий
Cisco ASA
Cisco IPS
Модуль Кампуса
Управление доступом
§ Идентификация устройств и пользователей § Наложение политик авторизации § Сегментация сети
Реализуем:
Противодействие угрозам
§ Противодействие L2-‐атакам § Контроль радиоэфира Безопасное взаимодействие
§ L2-‐шифрование
Cisco ISE
SGT ACL
Cisco Switches
Cisco WLC
MacSec
Модуль ЦОД
Реализуем:
Управление доступом
§ Политики доступа между зонами доверия на основе групповой принадлежности пользователя
§ Управление доступом как между физическими
серверами, так и между виртуальными машинами
Противодействие угрозам
§ Предотвращение вторжений на уровне сети § Использование SIO для ускорения работы IPS § Выявление аномалий
Безопасное взаимодействие
§ L2-‐шифрование
SGT ACL
Cisco ASA
Cisco IPS MacSec
Филиал
Управление доступом
§ Идентификация пользователей § Разграничение доступа ZPBFW § Защита Management Plane и Control Plane
Безопасное взаимодействие
§ GET VPN для WAN-‐взаимодействия § DMVPN phase 3 для организации
резервных каналов через Интернет Cisco ISR
Cisco ISR
Противодействие угрозам
§ Предотвращение вторжений IOS IPS § Защита web-‐доступа (ScanSafe Connector)
Cisco ISR
Удаленный пользователь
Управление доступом
§ Аутентификация в проводных и беспроводных сетях § Оценка здоровья рабочей станции
Противодействие угрозам
§ Интеграция с облаком ScanSafe
Безопасное взаимодействие
§ SSL VPN § IPSec VPN с поддержкой IKEv2 § L2-‐шифрование MacSec
Функционал безопасности в Cisco IOS*
* – Исключая технологии VPN ** – детально будет рассмотрен далее
§ AAA Framework – структура аутентификации, авторизации и учета, позволяющая контролировать и управлять как доступом администраторов на устройство, так и доступом пользователей сквозь устройство, применяется в большом количестве функций безопасности
§ IOS Firewall – на текущий момент IOS Zone Based Policy Firewall**
§ IOS IPS – система предотвращения вторжений встроена в IOS, имеет поддержку большого количества сигнатур
§ FPM – Flexibility Packet Matching, технология, позволяющая писать собственные сигнатуры для противодействия новым атакам
§ Authenscason Proxy – аутентификация пользователя при попытке доступа сквозь устройство с динамическим назначением прав доступа
§ IOS Foundason Protecson – набор технологий, обеспечивающий защиту операционной системы и основных функций маршрутизатора
Технология Cisco Zone Based Firewall
Современная реализация межсетевого экрана в Cisco IOS. Zone в названии означает, что администратор применяет политики доступа не между отдельными интерфейсами, а между зонами. Зона может состоять из одного и более интерфейсов. К функциям ZPF относятся: § Statefull Firewall
§ Applicason Inspecson
§ User Based Policy
§ IP to SGT mapping on ISR
§ Transparent Firewall
§ ZBF High Availability
Statefull Firewall Функционал, обеспечивающий сохранение сессионной информации для трафика, идущего между зонами (разрешённый трафик выбирает администратор), и автоматический пропуск ответных пакетов.
Protocol Source IP Source Port Dest. IP Dest. Port Timeout
UDP 192.168.1.10 1024 1.1.1.10 53 20s
TCP 192.168.1.10 1025 1.1.1.1 80 3600s
Internet
WEB Server vk.com 1.1.1.1
DNS Server 1.1.1.10
192.168.1.10
S_IP:192.168.1.10
D_IP:1.1.1.10
D_Por:53
S_Por:1024
Data: DNS Req
S_IP:1.1.10
D_IP:192.168.1.10
D_Por:1024
S_Por:53
Data: DNS Resp
S_IP:192.168.1.10
D_IP:1.1.1.1
D_Por:80
S_Por:1025
Data: h�p req
S_IP:1.1.1
D_Por:1025
S_Por:80
Data: h�p Resp
D_IP:192.168.1.10
§ Applicason Inspecson – функционал ZBF, решающий ряд задач:
ü Распознавание приложений – IOS знает заранее, какое приложение на каком порту искать
Администратор имеет возможность добавлять порты в стандартные приложения и создавать собственные приложения.
ü Открытие дополнительных соединений для динамических приложений (ex: FTP/SIP…)
ü Deep Applicadon Inspecdon – глубокая инспекция целого ряда приложений. Дает
возможность принимать решения, основываясь на информации L7 (Блокировать определенный URL/Тип файла в h�p/Почтовый ящик/…)
§ User Based Policy – функция, работающая совместно с Authendcadon Proxy и дающая возможность назначать политики на основе групповой принадлежности пользователя.
1. При создании политик ZBF используются имена пользовательских групп и к этим
группам привязываются перечни разрешённых протоколов 2. Пользователь начинает инициировать соединения через интерфейс, на котором
настроено правило authendcadon proxy 3. В браузере появляется запрос на ввод login/password 4. Ввод пользователем login/password 5. Маршрутизатор пересылает credendals user на сервер AAA 6. Сервер возвращает вместе с результатом аутентификации атрибут “supplicant-‐group”
§ IP to SGT mapping on ISR – технология, позволяющая интегрировать технологию Security Group Tag с ZBF. Данный функционал применяется для написания правил в межсетевом экране центрального офиса на основе SGT.
1. Идентификация пользователя в филиале (Auth-‐Proxy or 802,1x)
2. Информация о соответствии SGT to IP передается с маршрутизатора филиала на маршрутизатор центрального офиса
3. При настройке ZBF на центральном роутере в качестве идентификаторов групп были использованы SGT, к каждой группе назначается список разрешённых протоколов
§ Transparent Firewall – вариант развертывания ZBF, при котором в Zone добавляются интерфейсы, принадлежащие к одной bridge-‐group
Bridge-‐Group – группа интерфейсов в IOS, при объединении в которую все, что за ними находится, попадает в единый broadcast-‐domain
§ ZBF High Availability – новый функционал, появившийся начиная с IOS 15.2(3)T, отказоустойчивость основана на технологии SSO (Statefull Switchover). При реализации ZBF HA нам доступна как схема Acdve-‐Standby, так и схема Acdve-‐Acdve
Zones: § Zone – структура, состоящая из одного или нескольких интерфейсов § Zone–Self – специальная зона для управления трафиком, входящим в маршрутизатор и
покидающем его § Zone Pair – пара зон, где одна указывается как Source, а другая как Desdnadon. Политика для
прохождения трафика привязывается к zone pair
Internet 192.168.1.0/24
195.5.5.0/24
192.168.2.0/24
INSIDE zone
OUTSIDE zone
DMZ zone zone-‐pair IN_OUT source INSIDE dessnason OUTSIDE
Session Table: 192.168.1.100:1024>>>195.5.5.10:80
Check
zone-‐pair OUT_DMZ source OUTSIDE dessnason DMZ
Session Table: 195.5.5.10:1024>>>192.168.2.10:80
Check
Понятия ZBF
Policy L3/L4: § Class Map (L3/L4) – компонент конфигурации, описывающий интересный трафик с помощью
ACL либо же указания протокола (h�p/dns…). Также может использоваться комбинация этих вариантов – в этом случае нас интересуют только данные определенных протоколов с/для определенных IP-‐адресов.
Note: Если используется только ACL, будет проводиться простая statefull инспекция без анализа приложений § Policy Map (L3/L4) – компонент конфигурации, отвечающий за применения действий для
одного или нескольких классов Варианты действий:
ü Inspect – выполнять инспекцию (Statefull + applicadon inspecdon если class с протокол) ü Pass – пропустить, информация о сессии не сохраняется ü Drop – сбросить то, что попало под этот класс. Здесь же можно добавить log ü Police – наложить ограничение на скорость трафика, попавшего под класс ü Service – Policy – указать для этого класса глубокую инспекцию одного из приложений.
Для глубокой инспекции используется L7 Policy Map
Policy L7: § Class Map (L7) – поиск по специфичным для приложения параметрам (ex: HTTP -‐ URI)
§ Policy Map (L7) – политик для применения действий к L7 Class. Не для всех классов приложений есть политики. Некоторые классы приложений описываются в одной политике (ex: P2P policy для классов kazaa2/gnutella…)
Варианты действий при попадании трафика в класс: allow/log/rest
Parameter Map: § Parameter Map Inspect – задает ограничения на соединения и управляет aler/audit-‐trail.
Parameter map применяется с помощью указания ее имени после ключевого слова inspect в L3/L4 policy map
§ Parameter Map Regex – описывает pa�erns с помощью регулярных выражений. В одной regex parameter map можно задать несколько pa�erns, между ними срабатывает правило “ИЛИ”. Далее созданные regex map используются для Match в L7 Class Map
Факты ZBF
§ Zone должна быть создана перед добавлением в нее интерфейсов
§ Интерфейс может быть добавлен только в одну Zone
§ Трафик между интерфейсам в разных Zone запрещен
§ Трафик между интерфейсам в одной Zone разрешен*
§ Чтоб трафик проходил между интерфейсам в разных Zone, для них должна быть создана
Zone pair, в которой должна быть назначена политика с действием Inspect или Pass
§ Трафик между Self Zone и всеми другими зонами неявно разрешен
* – начиная с IOS 15.0(1)M, логика изменилась. Теперь без наличия политики
трафик блокируется между интерфейсами в одной zone
§ Трафик между интерфейсом, не являющимся членом зоны, и
интерфейсами, входящими в зоны, запрещён
§ ZBF работает после NAT – это значит, что если мы описываем политику для
сервера в Inside/DMZ, адрес которого транслируется, в ACL, созданном для
политики, нужно указать inside local address (серый IP)
§ Если на интерфейсе члене Zone назначен ACL – этот ACL всегда проверяется
раньше политик ZBF. Одновременное использование ZBF и ACL не
рекомендуется
Интеграция IOS и облака ScanSafe
Начиная с версии IOS 15.2(1)T1 появилась поддержка ScanSafe Connector ScanSafe Connector –отвечает за перенаправление в облако web-‐безопасности ScanSafe пользовательского h�p и h�ps-‐трафика. При перенаправлении происходит инкапсуляция пользовательских пакетов и их зашифровка (в качестве транспорта используется SSL) Кроме перенаправления, происходит добавление информации о состоянии аутентификации пользователя (Group name/Username) Для аутентификации можно использовать базу LDAP или локальную базу данных маршрутизатора Аутентификация может происходить в двух режимах:
§ HTTP-‐Basic – при инициировании h�p/h�ps ISR перенаправляет запрос пользователя на адрес virtual-‐proxy, с этого адреса отправляется запрос на аутентификацию
§ NTLM – принцип тот же, но если пользователь выполнил вход в систему, под доменной учетной записью аутентификации проходит прозрачно
Компоненты IOS ScanSafe Connector: § ldap-‐server – компонент конфигурации, отвечающий за подключение к серверу ldap и
хранящий параметры этого подключения § aaa group server – компонент, объединяющий несколько серверов в группу, при настройке
правил аутентификации и авторизации, в качестве точки проверки указывается эта группа
§ aaa authenscason/aaa authorizason – правила проведения аутентификации и авторизации пользователей
§ parameter-‐map type content-‐scan – элемент конфигурации, отвечающий за подключение к облаку ScanSafe, здесь указывается: ü Адреса серверов для подключения ü Ключ лицензии ü Что делать в случае отсутствия связи с облаком
§ ip admission – элемент конфигурации, управляющий аутентификацией и авторизацией пользователей.
Ведомственная Сеть
Филиал
Модели использования IOS Security
Large/Medium Enterprise Model
Ядро
Управление
WAN
Cisco SIO
ЦОД
Комплекс Зданий
Внешние организации
Интернет Internet
Филиал: § ZBF для сегментации
внутренней сети офиса § Аутентификация и присвоение
SGT § ScanSafe при необходимости
минимизировать трафик через центральный офис
Центральный офис: § ZBF на основе SGT для предоставления доступа к ресурсам
головного офиса
Small Enterprise Model
§ ZBF для сегментации внутренней сети офиса § ZBF для контроля доступа из вне § Authendcadon Proxy для контроля доступа на основе групповой принадлежности § IOS IPS для защиты от атак § ScanSafe для защиты web-‐доступа
Топология демонстрационного стенда
192.168.32.0/24 .4
.2
AD/DNS Test PC 1
Интернет
.5
192.168.100.0/24
Полезные ссылки: Пошаговая настройка ZBF (демонстрация) h�ps://docs.google.com/file/d/0B0VvUTk8KGW¥FlsSmJmN0x0T3M/edit?usp=sharing Финальная конфигурация h�ps://docs.google.com/file/d/0B0VvUTk8KGWfSlcwUElMVlFwZmM/edit?usp=sharing Security Configurason Guide: Zone-‐Based Policy Firewall h�p://www.cisco.com/en/US/docs/ios-‐xml/ios/sec_data_zbf/configuradon/15-‐1mt/sec-‐data-‐zbf-‐15-‐mt-‐book.html BRKSEC-‐3007 – Advanced Cisco IOS Security Features (2012 London) h�ps://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true Cisco ISR Web Security with Cisco ScanSafe Soluson Guide h�p://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SoludonGuide.pdf Как защитить сеть от web-‐угроз с помощью Cisco WSA h�p://www.youtube.com/watch?v=mdYlK3CscZc&feature=c4-‐overview&list=UUmpxXbPEgcbw2EcXBu8DYrw Новая Cisco ASA: тотальный контроль над пользователем h�p://www.youtube.com/watch?v=2Quzk8qr06w Практические советы по выбору и настройке Cisco VPN h�p://www.youtube.com/watch?v=J2OPdwsqKXs&list=TLgZ5EeIEQZnE
И напоследок:
h�ps://www.youtube.com/user/SkillFactoryVideo
h�p://www.slideshare.net/SkillFactory
h�p://skillfactory.smepad.ru/events/