Obszary zastosowa urzdze PIX firmy CISCO ze scenariuszami wdroe. Dariusz Szymaski Nr indeksu 693
1. ciana ogniowa CISCO PIX Cztery główne cechy cian ogniowych Cisco Secure PIX powoduj e jest to zazwyczaj główne, nowoczesne technicznie, i dobre zabezpieczenie, wykorzystujce: zabezpieczenia systemu czasu rzeczywistego, algorytm ASA proxy z przycinaniem (cut-through) nadmiarowo 1.1 Zabezpieczenia czasu rzeczywistego W przeciwnoci do wikszoci cian ogniowych urzdzenia Cisco PIX działaj w pojedynczym osadzonym systemie. Inne ciany ogniowe zwykle uruchamiaj aplikacj zabezpieczajc w ramach istniejcego systemu operacyjnego, PIX ma własny system odpowiedzialny za obsług urzdzenia. Jest to korzystne z nastpujcych powodów: Wiksze bezpieczestwo rodowisko obsługi PIX to pojedynczy system, który został zaprojektowany z myl o funkcjonalnoci i bezpieczestwie. Poniewa nie ma podziału na system operacyjny i aplikacj ciany ogniowej, brak w nim znanych słabych punktów do wykorzystania. Lepsza funkcjonalno - Jednolite rodowisko operacyjne wymaga mniej czynnoci podczas konfiguracji systemu. Na przykład gdy wiele adresów IP jest zwizanych z interfejsem zewntrznym ciany ogniowej aplikacji, która działa w zwykłym systemie operacyjnym, trzeba konfigurowa czci sieci systemu operacyjnego protokół ARP i routingu stosowa ACL lub reguły do ciany ogniowej. W cianie ogniowej Cisco PIX wszystkie te funkcje s łczone do jednego systemu. Gdy tylko adres IP zostaje powizany z interfejsem, PIX automatycznie odpowiada na danie ARP o ten adres, bez potrzeby szczegółowej konfiguracji. Wiksza wydajno Poniewa rodowisko uytkowe jest pojedynczym elementem, pozwala to na sprawne przetwarzanie i znacznie wiksz wydajno. ciana ogniowa Cisco PIX 535 moe obsłuy 500 000 równoległych połcze podczas utrzymania kontroli stanu wszystkich połcze.
1.2 Alogorytm ASA Algorytm ASA jest kluczem do kontroli połczenia stanu ciany ogniowej Cisco PIX. Tworzy on tabel przepływu sesji stanu (inaczej zwan tabel stanów), w której s zapisywane adresy ródłowe i docelowe. Dziki uyciu ASA ciana ogniowa Cisco PIX moe realizowa filtrowanie stanu w połczeniu z filtrowaniem pakietów. 1.3 Proxy z przycinaniem Przycinanie (cut-through) jest metod, która w sposób przezroczysty wykonuje uwierzytelnianie i autoryzacj wchodzcych i wychodzcych połcze ciany ogniowej. Metoda ta powoduje bardzo małe obcienie i zapewnia istotne polepszenie wydajnoci aplikacji ciany ogniowej proxy. 1.4 Nadmiarowo Cisco Secure PIX serii 515 i wyszej mog by konfigurowane w pary z najwaniejszym systemem, gotowym zawsze do działania. Nadmiarowo i niezawodno sprawiaj, e PIX nadaje si do ochrony krytycznych segmentów sieci. Jeli zawodzi najmniejsza ciana ogniowa, zastpcza automatycznie przejmuje obowizki, zasadniczo zmniejszajc moliwoci zatoru w sieci. 2. Modele cian ogniowych Cisco PIX i ich cechy. Obecnie na rynku znajduje si sze modeli cian ogniowych Cisco PIX. Reprezentuj one zakres usług zaspokajajcych potrzeby uytkowników od segmentu SOHO a do wielkich sieci korporacyjnych.
Cisco Secure PIX 501 dla małych biur, ma zintegrowany przełcznik 10/100 Cisco Secure PIX 506 - dla oddziałów firm, ma dwa interfejsy ethernetowe 10 BASE-T Cisco Secure PIX 515 - dla małych i rednich firm Cisco Secure PIX 520 do sieci w duych firmach obecnie ju nie produkowany stopniowo wycofywany z rynku Cisco Secure PIX 525 do sieci korporacyjnych i dostawców usług (ISP) Cisco Secure PIX 535 do duych sieci korporacyjnych i dostawców usług (ISP) Cisco Secure PIX 501 Jest wyposaona w procesor 133MHz 16MB RAM i 8MB pamici Flash oraz zewntrzny interfejs Ethernet i zintegrowany czteroportowy koncentrator po stronie wew. Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Jednak model ten nie obsługuje mechanizmu failover. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 10Mbps Maksymalna przepustowo z szyfrowaniem DES 6 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 3 Mbps Maksymalna liczba jednoczesnych sesji - 3500 Maksymalna liczba jednoczesnych udziałów VPN 5 Cisco Secure PIX 506 Jest wyposaona w procesor 200MHz 32MB RAM i 8MB pamici Flash oraz zewntrzny i wewntrzny interfejs Ethernet. Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Jednak model ten nie obsługuje mechanizmu failover. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 20Mbps Maksymalna przepustowo z szyfrowaniem DES 20 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 10 Mbps Maksymalna liczba jednoczesnych sesji - 3500 Maksymalna liczba jednoczesnych udziałów VPN 25
Cisco Secure PIX 515 Jest wyposaona w procesor 433MHz 32MB lub 64MB RAM i 16MB pamici Flash, dwa stałe interfejsy Ethernet, oraz dwa złcza PCI w których mona zainstalowa dodatkowe interfejsy (maks. cztery). Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Model ten obsługuje mechanizm failover przy uyciu kabla failover podłczonego do złcza szeregowego o przepustowoci 115kbps. System PIX Firewall OS w wersji 6.2 oferuje równie rozbudowan funkcj dalekosinego failover. Obudowa jest przystosowana do montau w szafach. Cechy modelu: Maksymalna przepustowo dla tekstu niezaszyfrowanego 188Mbps Maksymalna przepustowo z szyfrowaniem DES 100 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 63 Mbps Maksymalna liczba jednoczesnych sesji - 125 000 Maksymalna liczba jednoczesnych udziałów VPN 2000 Model 515 pozwala na zainstalowanie do czterech dodatkowych interfejsów. Moe to by równie pojedyncza karta z czterema interfejsami. Urzdzenie automatycznie rozpoznaje zainstalowane interfejsy i przydziela im numery. PIX 515 moe działa te z kart akceleratora VPN (VAC). Karta VAC przejmuje wiksz cz przetwarzania pakietów VPN, odciajc procesor ciany ogniowej i zwikszajc w ten sposób wydajno. Cisco Secure PIX 525 Jest wyposaona w procesor 600MHz do 256MB RAM i 16MB pamici Flash, dwa stałe interfejsy Ethernet, oraz trzy złcza PCI w których mona zainstalowa dodatkowe interfejsy (maks.dziesi). Ma równie 9600 bodowy port konsoli uywany do lokalnego zarzdzania. Model ten obsługuje mechanizm failover przy uyciu kabla failover podłczonego do złcza szeregowego o przepustowoci 115kbps. Cechy modelu:
Maksymalna przepustowo dla tekstu niezaszyfrowanego 370Mbps Maksymalna przepustowo z szyfrowaniem DES 100 Mbps Maksymalna przepustowo z szyfrowaniem 3DES 100 Mbps Maksymalna liczba jednoczesnych sesji - 280 000 Maksymalna liczba jednoczesnych udziałów VPN 2000 PIX 525 moe działa te z kart akceleratora VPN (VAC). Karta VAC przejmuje wiksz cz przetwarzania pakietów VPN, odciajc procesor ciany ogniowej i zwikszajc w ten sposób wydajno. 3. Przykładowe konfiguracje pracy Cisco PIX Przykład pokazuje jak zabezpieczy sie z wykorzystaniem routerów Cisco i firewalla Cisco PIX. Istniej tutaj 3 poziomy zabezpiecze (dwa routery i Cisco PIX) oraz monitorowanie przez syslog server które moe pomóc w identyfikowaniu potencjalnych ataków bezpieczestwa.
3.1 Pliki konfiguracyjne Cisco PIX!--- To set the outside address of the PIX Firewall: ip address outside 131.1.23.2!--- To set the inside address of the PIX Firewall: ip address inside 10.10.254.1!--- To set the global pool for hosts inside the firewall: global (outside) 1 131.1.23.12-131.1.23.254!--- To allow hosts in the 10.0.0.0 network to be!--- translated through the PIX: nat (inside) 1 10.0.0.0!--- To configure a static translation for an admin workstation!--- with local address 10.14.8.50: static (inside,outside) 131.1.23.11 10.14.8.50!--- To allow syslog packets to pass through the PIX from RTRA.!--- You can use conduits OR access-lists to permit traffic.!--- Conduits has been added to show the use of the command,!--- however they are commented in the document, since the!--- recommendation is to use access-list.!--- To the admin workstation (syslog server):!--- Using conduit:!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1!---Using access-list: Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514 Access-group 101 in interface outside!--- To permit incoming mail connections to 131.1.23.10: static (inside, outside) 131.1.23.10 10.10.254.3!--- Using conduits!--- conduit permit TCP host 131.1.23.10 eq smtp any!--- Using Access-lists, we use access-list 101!--- which is already applied to interface outside. Access-list 101 permit tcp any host 131.1.23.10 eq smtp!--- PIX needs static routes or the use of routing protocols!--- to know about networks not directly connected.!--- Add a route to network 10.14.8.x/24. route inside 10.14.8.0 255.255.255.0 10.10.254.2!--- Add a default route to the rest of the traffic
!--- going to the internet. Route outside 0.0.0.0 0.0.0.0 131.1.23.1!--- To enable the Mail Guard feature!--- to accept only seven SMTP commands!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:!--- (This may be turned off to permit ESMTP by negating with!--- the no fixup protocol smtp 25 command): fixup protocol smtp 25!--- To allow Telnet from the inside workstation at 10.14.8.50!--- into the inside interface of the PIX: telnet 10.14.8.50!--- To turn on logging: logging on!--- To turn on the logging facility 20: logging facility 20!--- To turn on logging level 7: logging history 7!--- To turn on the logging on the inside interface: logging host inside 10.14.8.50 Router RTRA no service tcp small-servers!--- Prevents some attacks against the router itself. logging trap debugging!--- Forces the router to send a message!--- to the syslog server for each and every!--- event on the router, including packets denied!--- access through access lists and!--- configuration changes. This acts as an early warning system to the system!--- administrator that someone is trying to break in, or has broken in and is!--- trying to create a "hole" in their firewall. logging 131.1.23.11!--- The router logs all events to this!--- host, which in this case is the!--- "outside" or "translated" address of the system!--- administrator's workstation. enable secret xxxxxxxxxxx interface Ethernet 0 ip address 131.1.23.1 255.255.255.0
interface Serial 0 ip unnumbered ethernet 0 ip access-group 110 in!--- Shields the PIX Firewall and the HTTP/FTP!--- server from attacks and guards!--- against spoofing attacks (see access list definition below). access-list 110 deny ip 131.1.23.0 0.0.0.255 any log!--- RTRA and the PIX Firewall.!--- This is to prevent spoofing attacks. access-list 110 deny ip any host 131.1.23.2 log!--- Prevents direct attacks against the!--- PIX Firewall's outside interface and!--- logs any attempts to connect to the PIX's!--- outside interface to the syslog server. access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established!--- Permits packets which are part!--- of an established TCP session. access-list 110 permit tcp any host 131.1.23.3 eq ftp!--- Allows FTP connections into the FTP/HTTP server. access-list 110 permit tcp any host 131.1.23.3 eq ftp-data!--- Allows ftp-data connections into the FTP/HTTP server. access-list 110 permit tcp any host 131.1.23.3 eq www!--- Allows HTTP connections into the FTP/HTTP server. access-list 110 deny ip any host 131.1.23.3 log!--- Disallows all other connections to!--- the FTP/HTTP server, and logs any attempt!--- to connect this server to the syslog server. access-list 110 permit ip any 131.1.23.0 0.0.0.255!--- Permits other traffic destined to the!--- network between the PIX Firewall and RTRA. line vty 0 4 login password xxxxxxxxxx access-class 10 in!--- Restricts Telnet access to the router!--- to those IP addresses listed in!--- access list 10, which is detailed below. access-list 10 permit ip 131.1.23.11!--- Permits only the administrator's workstation
!--- to Telnet into the router; this!--- access list may need to be changed to permit!--- access from the Internet for!--- maintenance, but should contain as few!--- entries as possible. Router logging trap debugging logging 10.14.8.50!--- Log all activity on this router to the!--- syslog server on the administrator's!--- workstation, including configuration changes. interface Ethernet 0 ip address 10.10.254.2 255.255.255.0 no ip proxy-arp ip access-group 110 in!--- Prevents inside and outside addresses!--- from mingling; guards against attacks!--- launched from the PIX Firewall or the!--- SMTP server as much as possible. access-list 110 permit udp host 10.10.250.5 0.0.0.255!--- Permits syslog messages destined!--- to the administrator's workstation. access-list 110 deny ip host 10.10.254.1 any log!--- Denies any other packets sourced!--- from the PIX Firewall. access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp!--- Permits SMTP mail connections from the!--- mail host to internal mail servers. access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255!--- Denies all other traffic sourced!--- from the mail server. access-list deny ip 10.10.250.0 0.0.0.255 any!--- Prevents spoofing of trusted addresses!--- on the internal network. access-list permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255!--- Permits all other traffic sourced from!--- the network between the PIX Firewall and RTRB.
line vty 0 4 login password xxxxxxxxxx access-class 10 in!--- Restricts Telnet access to the router!--- to those IP addresses listed in!--- access list 10, which is detailed below. access-list 10 permit ip 10.14.8.50!--- Permits only the administrator's workstation!--- to Telnet into the router. This!--- access list may need to be changed to permit!--- access from the Internet for!--- maintenance, but should contain as few entries as possible.!--- Also, due to the fact that it is not a directly connected!--- network, a static route or routing protocol must be utilised!--- to make the router aware of network 10.14.8.x (which is!--- inside the corporate network).