Left, Right, Center Left, Center, Right Center, Left, Right

Академия

Мы -- официальная сетевая академия Cisco (ID: 20027250)

Хочешь сказать спасибо?

Нравится наш проект?

Хотите нас поддержать (сказать "спасибо")?

Можете воспользоваться для этого следующими кошельками webmoney

R432847347204

Z150172555537

Подписка на новости

Вопрос недели

В какое время Вам будет удобно заниматься?



 

Вход в систему







Забыли пароль?
Регистрация

Про виртуальные сети (часть 12). Файрвол CBAC в виртуальной сети

Статьи

Тема безопасности, будь то реальные сети или виртуальные, - это очень благодатная почва. И не зря, ведь сохранность и конфиденциальность корпоративной информации является залогом успешного ведения бизнеса, а значит и прибыли компании. Мы обсудили с Вами уже много тем, связанных с сетевой безопасностью. В первую очередь, это были темы, связанные с созданием VPN и трансляцией сетевых адресов NAT. Но мы ни разу не говорили про файрволл (firewall), который реализован в маршрутизаторе Cisco (Cisco IOS Firewall feature set). Мы решили исправить этот недостаток и поделиться с тобой информаций о том, как работает в виртуальной среде Cisco IOS Firewall CBAC (Context-based access control).

Файрволл CBAC – это такая замечательная штука, которая позволяет в очень большой степени усилить защиту Вашей сети от вторжения. Фактически, он инспектирует проходящие сессии и делает динамические записи, в соответствии с которыми разрешается обратный трафик (ответ на запрос) пользователя. Файрволл CBAC работает не только с ip, tcp и udp трафиком. Он позволяет заглядывать выше, в заголовки прикладного уровня (в соответствии с моделью OSI), и инспектировать их содержание. Детальнее прочитать про CBAC можно на официальном сайте. Мы же рассмотрим, как интегрировать эту прекрасную технологию защиты сети, технологию firewall, в виртуальную среду. Физическая связность устройств для нашего примера выглядит следующим образом:

Логическая топология, вытекая из физической, выглядит так:

Создание vrf и настройку интерфейсов мы пропустим, так как делали ее уже не один раз (если она вызывает у Вас затруднения, вы можете посмотреть общий конфиг для данной статьи). Основное нашей действо будет разворачиваться на виртуальном маршрутизаторе vrf C. Первое, что мы сделаем, это установим максимальный уровень защиты со стороны не доверенной сети (untrusted network). Сделаем это путем настройки списка доступа во входящем направлении на интерфейсе fa 0/0.6 виртуального маршрутизатора vrf C, который будет запрещать весь входящий трафик:


R2#sh run
!
ip access-list extended OUT_IN
deny ip any any
!
interface FastEthernet0/0.6
ip access-group OUT_IN in
!

Весь трафик, который будет входить на маршрутизатор через этот интерфейс, будет отбрасываться, что показывает следующая проверка:


R1#ping vrf A 10.0.2.1 so lo 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:

Packet sent with a source address of 10.0.1.1
.....
Success rate is 0 percent (0/5)
R2#ping vrf A 10.0.2.1 so lo 0

Теперь создадим правила для инспекции трафика на данном интерфейсе:


R2#sh run
!
ip inspect name VIRT icmp
ip inspect name VIRT tcp
!

Как видно, в создании правил инспекции нет никакой записи о том, что данные правила принадлежат какому-то виртуальному маршрутизатору. Это означает, что данный набор правил можно использовать для нескольких (всех) виртуальных маршрутизаторов одновременно. Далее мы применим данный набор правил инспекции CBAC к интерфейсу в исходящем направлении:


R2#sh run
!
interface FastEthernet0/0.6
ip inspect VIRT out
!

Инспекция применяется в исходящем направлении, так как необходимо делать записи о всем трафике, который отправляется из нашей сети наружу, чтобы разрешить обратный трафик в рамках открытых сессий. Проверим, что мы все верно сконфигурировали на примере того же ping:


R1#ping vrf A 10.0.2.1 so lo 0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.0.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

Посмотрим таблицу сессий на виртуальном маршрутизаторе vrf C (важно указывать виртуальный маршрутизатор, в противном случае таблица записей будет пустая:


R2#sh ip inspect sessions vrf C
Established Sessions
Session 84DEEA08 (10.0.1.1:8)=>(10.0.2.1:0) icmp SIS_OPEN

Проверим корректную работу tcp инспекции протоколом telnet:


R1#telnet 10.0.2.1 /vrf A /source-interface lo 0
Trying 10.0.2.1 ... Open

В таблице открытых сессий будем видеть:


R2#sh ip inspect sessions vrf C
Established Sessions
Session 84DEEA08 (10.0.1.1:50255)=>(10.0.2.1:23) tcp SIS_OPEN

Вывод простой: у нас настроено верно и инспекция отрабатывает. Таким не очень хитрым способом мы значительно усилили безопасность нашей сети от внешних угроз. Безусловно, настройка CBAC как такового – отдельная тема для разговора, требующего детального погружения в настройки и доступные инспекции. Тем не менее, общее направление его работы в общем, и в виртуальных сетях в частности понятно.

Полный конфиг маршрутизаторов для данной работы по этой ссылке.

Удачи, друзья!

Пожалуйста, зарегистрируйтесь или войдите в систему для добавления комментариев к этой статье.
Share to Facebook Share to Twitter Share to Linkedin Share to Myspace Share to Google 
.