Применения интерфейсов Loopback будут рассмотрены по ходу лабораторного практикума.
Интерфейс Null не имеет IP-адреса и прочих настроек. Пакеты, маршрутизированные через интерфейс типа Null, уничтожаются. Null применяется при фильтрации дейтаграмм, а также для создания защитных маршрутов при суммировании маршрутов.
Другие виртуальные интерфейсы фактически получают и отправляют данные через физические интерфейсы, однако в данном случае IP-интерфейс больше не ассоциируется непосредственно с физическим портом маршрутизатора. Порт (порты), находящиеся "под" виртуальным интерфейсом, функционируют теперь только на уровнях 1 и 2 и им не присваиваются IP-адреса.
Решения Cisco Systems для обеспечения сетевой безопасности.
Компания Cisco Systems, являясь одним из ведущих производителей сетевого оборудования, предлагает полный спектр решений для обеспечения сетевой безопасности. Ниже приведен краткий перечень новых продуктов и решений, предлагаемых в данной области.
Для обеспечения защиты сетевых соеднений: Network based IPSec VPN solution for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for 7200s, VPN SM for Cat6500/7600, VPN 3000 Concentrator v4.0, AES Module for VPN 3000, VPN Client v.4.0.
Для управления системой безопасности: Cisco IOS AutoSecure, Cisco Security Device Manager v1.0 , Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks Security Information Management Solution (SIMS) v3.1.
Для обнаружения и предотвращения сетевых атак и вторжений: IDS 4215 Sensor, IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL s/w ,Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box.
Для достоверной идентификации сторон, участвующих в защищенном обмене информацией: Cisco IOS software Identity Enhancements.
Network based IPSec VPN solution for Service Providers позволяет поставщикам услуг доступа управлять распределенными сетями на базе MPLS- VPN, IP-VPN и FR/ATM-VPN при помощи одного интегрированного пакета управления.
VPN AIM Module for Cisco 2600XM (AIM-VPN/BPII) предоставляет маршрутизатору функции аппаратной шифрации с поддержкой алгоритмов DES, 3DES и AES и обеспечивает в два раза более высокую производительность по сравнению с предыдущим модулем ускорения шифрации (AIM-VPN/BP) - до 22 Мбит/сек.
VAM2 Card for Cisco 7200 - модуль аппаратного ускорения шифрации для маршрутизаторов серии Cisco 7200. Один модуль обеспечивает производительность шифрации до 260 Мбит/сек, два модуля - до 460 Мбит/сек.
VPN SM for Cat6500/7600 - сервисный модуль аппаратной шифрации для коммутаторов Catalyst 6500/7600. Обеспечивая производительность до 14 Гбит/сек он также поддерживает расширенную функциональность - поддержку и ускорение GRE-туннелей, полнофункциональне резервирование IPSec-соединений (stateful failover), IPSec Remote Access и возможность подключения WAN- интерфейсов.
VPN 3000 Concentrator v4.0 - новое ПО для концентратора VPN-соединений. Появились новые диагностические функции, поддержка авторизации пользователей через Kerberos/Active Directory, LAN-to-LAN backup для резервирования межсетевых соединений. Также появилась поддержка нового модуля шифрации AES - SEP-E, поддерживающего до 10000 одновременных соединений DES/3DES/AES.
VPN Client v.4.0 - новая версия ПО для клиентских рабочих станций, работающих через VPN. Интеграция с Cisco Security Agent предоставляет пользователю функции firewall, удобный и простой графический интерфейс облегчает настройку и управление, поддержка приложений, работающих с протоколом H.323 позволяет дистанционно общаться, не беспокоясь о защищенности соединения.
Cisco IOS AutoSecure - функция интерфейса IOS, позволяющая быстро произвести настройку функций безопасности, отключить редко используемые сетевые сервисы и разрешить доступ и управление только для авторизованных пользователей.
Cisco Security Device Manager v1.0 - ПО управления сетевой безопасностью, доступное на всех моделях маршрутизаторов доступа, от Cisco 830 до Cisco 3700, позволяющее в графическом режиме, удаленно с любой раюбочей станции (через веб-браузер) изменять любые настройки безопасности на маршрутизаторе. Встроенный алгоритм аудита предупредит пользователя о потенциально опасных настройках и предложит варианты решения.
Cisco ISC v3.0 - Cisco IP Solution Center позволяет определять политики безопасности для всей сети, скрывая подробности реализации политик на конкретных устройствах. Политики позволяют учитывать схемы реализации механизмов LAN-to-LAN VPN, Remote Access VPN, EZ VPN и DMVPN, Firewall, NAT и QoS, а ISC реализует их на всех сетевых устройствах, работающих с механизмами безопасности (IOS, PIX, VPN3K Concentrator и т.п.).
CiscoWorks VPN/Security management Solution 2.2 централизует функции управления, мониторинга, учета, диагностики и обновления для ПО всех сетевых устройств Cisco, реализующих функции сетевой безопасности. CiscoWorks Security Information Management Solution (SIMS) v3.1 позволяет управлять безопасностью в сетях, использующих оборудование и ПО различных производителей.
IDS 4215 Sensor - отдельное устройство в стоечном исполнении, высотой 1 RU, позволяет организовывать до 5 сенсоров с общей пропускной способностью до 80 Мбит/сек, которые способны прослушивать сетевой трафик, отслеживать потенциально опасную активность, предпринимать действия по предотвращению и остановке сетевых атак.
IDS Network Module for Cisco 2600XM, 3660, 3700 series - аналогичное устройство, но предназначенное для слежения за трафиком на самом периметре сети - на маршрутизаторе доступа. Обеспечивая производительность до 45 Мбит/сек, модуль использует то же ПО, что и IDS sensor, что позволяет строить гомогенную инфраструктуру безопасности, с единым централизованным интерфейсом управления.
Cisco Security Agents v4.0 - "последняя линия" сетевой обороны, ПО, устанавливаемое на рабочие станции и серверы. Они отслеживают попытки несанкционированного доступа к операционной системе, а также следят за активностью приложений, в случае некорректных действий или нестабильной работы они могут остановить или перезапустить приложение или сервис. Оповещения о подозрительных событиях пересылаются и накапливаются на центральной консоли управления.
Cisco CSS 11500 Series Content Services Switch - платформа управления трафиком на уровнях 4-7, позволяющая определять правила распределения трафика, его балансировки и резервирования.
Cisco ACNS Software version 5.0.3 with Websense Content Filtering On-Box - версия 4 этого продукта работала как двухуровневая система, где модуль фильтрации размещался на устройствах Cisco Content Engine, а набор шаблонов WebSense для фильтрации - на внешнем сервере. Новая версия совмещает оба элемента на одной платформе (Content Engine).
Cisco IOS software Identity Enhancements - новые функции IOS обеспечивают надежную идентификацию устройств и пользователей, участвующих в обмене информацией по защищенным каналам. Поддержка инфраструктуры PKI и интеграция с функциями AAA на серверах, маршрутизаторах и концентраторах доступа облегчают идентификацию в распределенной сети с использованием цифровых сертификатов и подписей. Secure RSA private key предотвращает использование украденных маршрутизаторов - в случае попытки вскрытия пароля приватные ключи маршрутизатора уничтожаются. N-tier CA Chaining позволяет отследить цепочку доверенных сертификатов, начиная с ближайшего и заканчивая центральным (root) certificate authority. Authentication Proxy проверяет права пользователя перед тем как выпустить пользователя за пределы сети. Secure ARP - связывает MAC и IP-адреса устройств, не позволяя подменить одно из устройств в процессе передачи данных. Поддержка 802.1X требует авторизации пользователя перед тем как пустить его трафик в сеть.
Пользовательский и привилегированный уровни доступа.
Cisco IOS для конфигурации маршрутизатора поддерживает интерфейс командной строки, работать с которым можно с терминала, подключенного к маршрутизатору через консольный порт (Console port) или с помощью удаленного доступа по модему и telnet - соединения по сети. Сеанс командной строки называется EXEC-сессией.
В целях безопасности Cisco IOS обеспечивает два уровня доступа к интерфейсу командной строки: пользовательский и привилегированный. Пользовательский уровень называется user EXEC режим, а привилегированный privileged EXEC режим.
Предусмотрено 16 уровней привилегий: от 0 до 15. На нулевом уровне доступно всего пять команд: disable, enable, exit, help, logout. На уровне 15 доступны все возможные команды.
Пользовательский режим
Вид командной строки имеет вид Router>
Этот режим позволяет временно изменить настройки терминала, выполнить основные тесты, просмотреть системную информацию и подключиться к удаленному устройству. Пользовательский режим по умолчанию имеет первый уровень привилегии. Набор команд существенно ограничен. Для перехода на другой уровень привилегий необходимо ввести команду enable [номер уровня], например
Router>enable 7
Команды enable и enable 15 являются аналогичными и приводят пользователя на привилегированный уровень.
Привилегированный режим
Вид командной строки в имеет вид Router#
Набор привилегированных команд устанавливает параметры работы системы. Пользователь имеет доступ к командам глобального конфигурирования и специальным конфигурационным режимам.
Возможности пользовательского режима с первым уровнем привилегий достаточно широкие. Из этого режима возможно выполнение "опасных" команд, таких как telnet, connect, tunnel, login и совсем не нужных для некоторых пользователей команд traceroute, enable, mstat, mrinfo, а также команд группы show: show hosts, show versions, show users, show flash: и многие другие.
Права пользователей можно тонко настраивать: любому пользователю можно назначить определенный уровень при входе в маршрутизатор, любую команду можно перевести на уровень, отличный от стандартного. В свое время у нас возникла задача создания пользователя с минимальными возможностями: запрет команды enable, всех команд группы show и единственной разрешенной командой telnet. Это возможно реализовать следующим образом:
1. Создадим пользователя cook с нулевым уровнем привилегий
Router(config)#username cook privilege 0 password 7 044D0908
Страницы: 1, 2, 3
