Obszary zastosowa urzdze PIX firmy CISCO ze scenariuszami wdroe.

Transkrypt

1 Obszary zastosowa urzdze PIX firmy CISCO ze scenariuszami wdroe. Dariusz Szymaski Nr indeksu 693

2 1. ciana ogniowa CISCO PIX Cztery główne cechy cian ogniowych Cisco Secure PIX powoduj e jest to zazwyczaj główne, nowoczesne technicznie, i dobre zabezpieczenie, wykorzystujce: zabezpieczenia systemu czasu rzeczywistego, algorytm ASA proxy z przycinaniem (cut-through) nadmiarowo 1.1 Zabezpieczenia czasu rzeczywistego W przeciwnoci do wikszoci cian ogniowych urzdzenia Cisco PIX działaj w pojedynczym osadzonym systemie. Inne ciany ogniowe zwykle uruchamiaj aplikacj zabezpieczajc w ramach istniejcego systemu operacyjnego, PIX ma własny system odpowiedzialny za obsług urzdzenia. Jest to korzystne z nastpujcych powodów: Wiksze bezpieczestwo rodowisko obsługi PIX to pojedynczy system, który został zaprojektowany z myl o funkcjonalnoci i bezpieczestwie. Poniewa nie ma podziału na system operacyjny i aplikacj ciany ogniowej, brak w nim znanych słabych punktów do wykorzystania. Lepsza funkcjonalno - Jednolite rodowisko operacyjne wymaga mniej czynnoci podczas konfiguracji systemu. Na przykład gdy wiele adresów IP jest zwizanych z interfejsem zewntrznym ciany ogniowej aplikacji, która działa w zwykłym systemie operacyjnym, trzeba konfigurowa czci sieci systemu operacyjnego protokół ARP i routingu stosowa ACL lub reguły do ciany ogniowej. W cianie ogniowej Cisco PIX wszystkie te funkcje s łczone do jednego systemu. Gdy tylko adres IP zostaje powizany z interfejsem, PIX automatycznie odpowiada na danie ARP o ten adres, bez potrzeby szczegółowej konfiguracji. Wiksza wydajno Poniewa rodowisko uytkowe jest pojedynczym elementem, pozwala to na sprawne przetwarzanie i znacznie wiksz wydajno. ciana ogniowa Cisco PIX 535 moe obsłuy równoległych połcze podczas utrzymania kontroli stanu wszystkich połcze.

3 1.2 Alogorytm ASA Algorytm ASA jest kluczem do kontroli połczenia stanu ciany ogniowej Cisco PIX. Tworzy on tabel przepływu sesji stanu (inaczej zwan tabel stanów), w której s zapisywane adresy ródłowe i docelowe. Dziki uyciu ASA ciana ogniowa Cisco PIX moe realizowa filtrowanie stanu w połczeniu z filtrowaniem pakietów. 1.3 Proxy z przycinaniem Przycinanie (cut-through) jest metod, która w sposób przezroczysty wykonuje uwierzytelnianie i autoryzacj wchodzcych i wychodzcych połcze ciany ogniowej. Metoda ta powoduje bardzo małe obcienie i zapewnia istotne polepszenie wydajnoci aplikacji ciany ogniowej proxy. 1.4 Nadmiarowo Cisco Secure PIX serii 515 i wyszej mog by konfigurowane w pary z najwaniejszym systemem, gotowym zawsze do działania. Nadmiarowo i niezawodno sprawiaj, e PIX nadaje si do ochrony krytycznych segmentów sieci. Jeli zawodzi najmniejsza ciana ogniowa, zastpcza automatycznie przejmuje obowizki, zasadniczo zmniejszajc moliwoci zatoru w sieci. 2. Modele cian ogniowych Cisco PIX i ich cechy. Obecnie na rynku znajduje si sze modeli cian ogniowych Cisco PIX. Reprezentuj one zakres usług zaspokajajcych potrzeby uytkowników od segmentu SOHO a do wielkich sieci korporacyjnych.

4 Cisco Secure PIX 501 dla małych biur, ma zintegrowany przełcznik 10/100 Cisco Secure PIX dla oddziałów firm, ma dwa interfejsy ethernetowe 10 BASE-T Cisco Secure PIX dla małych i rednich firm Cisco Secure PIX 520 do sieci w duych firmach obecnie ju nie produkowany stopniowo wycofywany z rynku Cisco Secure PIX 525 do sieci korporacyjnych i dostawców usług (ISP) Cisco Secure PIX 535 do duych sieci korporacyjnych i dostawców usług (ISP) Cisco Secure PIX 501 Jest wyposaona w procesor 133MHz 16MB RAM i 8MB pamici Flash oraz zewntrzny interfejs Ethernet i zintegrowany czteroportowy koncentrator po stronie wew. Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Jednak model ten nie obsługuje mechanizmu failover. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 10Mbps Maksymalna przepustowo z szyfrowaniem DES 6 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 3 Mbps Maksymalna liczba jednoczesnych sesji Maksymalna liczba jednoczesnych udziałów VPN 5 Cisco Secure PIX 506 Jest wyposaona w procesor 200MHz 32MB RAM i 8MB pamici Flash oraz zewntrzny i wewntrzny interfejs Ethernet. Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Jednak model ten nie obsługuje mechanizmu failover. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 20Mbps Maksymalna przepustowo z szyfrowaniem DES 20 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 10 Mbps Maksymalna liczba jednoczesnych sesji Maksymalna liczba jednoczesnych udziałów VPN 25

5 Cisco Secure PIX 515 Jest wyposaona w procesor 433MHz 32MB lub 64MB RAM i 16MB pamici Flash, dwa stałe interfejsy Ethernet, oraz dwa złcza PCI w których mona zainstalowa dodatkowe interfejsy (maks. cztery). Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Model ten obsługuje mechanizm failover przy uyciu kabla failover podłczonego do złcza szeregowego o przepustowoci 115kbps. System PIX Firewall OS w wersji 6.2 oferuje równie rozbudowan funkcj dalekosinego failover. Obudowa jest przystosowana do montau w szafach. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 188Mbps Maksymalna przepustowo z szyfrowaniem DES 100 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 63 Mbps Maksymalna liczba jednoczesnych sesji Maksymalna liczba jednoczesnych udziałów VPN 2000 Model 515 pozwala na zainstalowanie do czterech dodatkowych interfejsów. Moe to by równie pojedyncza karta z czterema interfejsami. Urzdzenie automatycznie rozpoznaje zainstalowane interfejsy i przydziela im numery. PIX 515 moe działa te z kart akceleratora VPN (VAC). Karta VAC przejmuje wiksz cz przetwarzania pakietów VPN, odciajc procesor ciany ogniowej i zwikszajc w ten sposób wydajno. Cisco Secure PIX 525 Jest wyposaona w procesor 600MHz do 256MB RAM i 16MB pamici Flash, dwa stałe interfejsy Ethernet, oraz trzy złcza PCI w których mona zainstalowa dodatkowe interfejsy (maks.dziesi). Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Model ten obsługuje mechanizm failover przy uyciu kabla failover podłczonego do złcza szeregowego o przepustowoci 115kbps. Cechy modelu:

6 Maksymalna przepustowo dla tekstu niezaszyfrowanego 370Mbps Maksymalna przepustowo z szyfrowaniem DES 100 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 100 Mbps Maksymalna liczba jednoczesnych sesji Maksymalna liczba jednoczesnych udziałów VPN 2000 PIX 525 moe działa te z kart akceleratora VPN (VAC). Karta VAC przejmuje wiksz cz przetwarzania pakietów VPN, odciajc procesor ciany ogniowej i zwikszajc w ten sposób wydajno. 3. Przykładowe konfiguracje pracy Cisco PIX Przykład pokazuje jak zabezpieczy sie z wykorzystaniem routerów Cisco i firewalla Cisco PIX. Istniej tutaj 3 poziomy zabezpiecze (dwa routery i Cisco PIX) oraz monitorowanie przez syslog server które moe pomóc w identyfikowaniu potencjalnych ataków bezpieczestwa.

7 3.1 Pliki konfiguracyjne Cisco PIX!--- To set the outside address of the PIX Firewall: ip address outside !--- To set the inside address of the PIX Firewall: ip address inside !--- To set the global pool for hosts inside the firewall: global (outside) !--- To allow hosts in the network to be!--- translated through the PIX: nat (inside) !--- To configure a static translation for an admin workstation!--- with local address : static (inside,outside) !--- To allow syslog packets to pass through the PIX from RTRA.!--- You can use conduits OR access-lists to permit traffic.!--- Conduits has been added to show the use of the command,!--- however they are commented in the document, since the!--- recommendation is to use access-list.!--- To the admin workstation (syslog server):!--- Using conduit:!--- conduit permit udp host eq 514 host !---Using access-list: Access-list 101 permit udp host host eq 514 Access-group 101 in interface outside!--- To permit incoming mail connections to : static (inside, outside) !--- Using conduits!--- conduit permit TCP host eq smtp any!--- Using Access-lists, we use access-list 101!--- which is already applied to interface outside. Access-list 101 permit tcp any host eq smtp!--- PIX needs static routes or the use of routing protocols!--- to know about networks not directly connected.!--- Add a route to network x/24. route inside !--- Add a default route to the rest of the traffic

8 !--- going to the internet. Route outside !--- To enable the Mail Guard feature!--- to accept only seven SMTP commands!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:!--- (This may be turned off to permit ESMTP by negating with!--- the no fixup protocol smtp 25 command): fixup protocol smtp 25!--- To allow Telnet from the inside workstation at !--- into the inside interface of the PIX: telnet !--- To turn on logging: logging on!--- To turn on the logging facility 20: logging facility 20!--- To turn on logging level 7: logging history 7!--- To turn on the logging on the inside interface: logging host inside Router RTRA no service tcp small-servers!--- Prevents some attacks against the router itself. logging trap debugging!--- Forces the router to send a message!--- to the syslog server for each and every!--- event on the router, including packets denied!--- access through access lists and!--- configuration changes. This acts as an early warning system to the system!--- administrator that someone is trying to break in, or has broken in and is!--- trying to create a "hole" in their firewall. logging !--- The router logs all events to this!--- host, which in this case is the!--- "outside" or "translated" address of the system!--- administrator's workstation. enable secret xxxxxxxxxxx interface Ethernet 0 ip address

9 interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in!--- Shields the PIX Firewall and the HTTP/FTP!--- server from attacks and guards!--- against spoofing attacks (see access list definition below). access-list 110 deny ip any log!--- RTRA and the PIX Firewall.!--- This is to prevent spoofing attacks. access-list 110 deny ip any host log!--- Prevents direct attacks against the!--- PIX Firewall's outside interface and!--- logs any attempts to connect to the PIX's!--- outside interface to the syslog server. access-list 110 permit tcp any established!--- Permits packets which are part!--- of an established TCP session. access-list 110 permit tcp any host eq ftp!--- Allows FTP connections into the FTP/HTTP server. access-list 110 permit tcp any host eq ftp-data!--- Allows ftp-data connections into the FTP/HTTP server. access-list 110 permit tcp any host eq www!--- Allows HTTP connections into the FTP/HTTP server. access-list 110 deny ip any host log!--- Disallows all other connections to!--- the FTP/HTTP server, and logs any attempt!--- to connect this server to the syslog server. access-list 110 permit ip any !--- Permits other traffic destined to the!--- network between the PIX Firewall and RTRA. line vty 0 4 login password xxxxxxxxxx access-class 10 in!--- Restricts Telnet access to the router!--- to those IP addresses listed in!--- access list 10, which is detailed below. access-list 10 permit ip !--- Permits only the administrator's workstation

10 !--- to Telnet into the router; this!--- access list may need to be changed to permit!--- access from the Internet for!--- maintenance, but should contain as few!--- entries as possible. Router logging trap debugging logging !--- Log all activity on this router to the!--- syslog server on the administrator's!--- workstation, including configuration changes. interface Ethernet 0 ip address no ip proxy-arp ip access-group 110 in!--- Prevents inside and outside addresses!--- from mingling; guards against attacks!--- launched from the PIX Firewall or the!--- SMTP server as much as possible. access-list 110 permit udp host !--- Permits syslog messages destined!--- to the administrator's workstation. access-list 110 deny ip host any log!--- Denies any other packets sourced!--- from the PIX Firewall. access-list permit tcp host eq smtp!--- Permits SMTP mail connections from the!--- mail host to internal mail servers. access-list deny ip host !--- Denies all other traffic sourced!--- from the mail server. access-list deny ip any!--- Prevents spoofing of trusted addresses!--- on the internal network. access-list permit ip !--- Permits all other traffic sourced from!--- the network between the PIX Firewall and RTRB.

11 line vty 0 4 login password xxxxxxxxxx access-class 10 in!--- Restricts Telnet access to the router!--- to those IP addresses listed in!--- access list 10, which is detailed below. access-list 10 permit ip !--- Permits only the administrator's workstation!--- to Telnet into the router. This!--- access list may need to be changed to permit!--- access from the Internet for!--- maintenance, but should contain as few entries as possible.!--- Also, due to the fact that it is not a directly connected!--- network, a static route or routing protocol must be utilised!--- to make the router aware of network x (which is!--- inside the corporate network).